网络攻击是不断变化且不可预知的虽然传统的暴力攻击仍然仅限于破解账户密码,但是用来攻击加密数据的勒索软件攻击变得越来越多样化同时也存在一些来自攻擊者的其它威胁,如他们为自己创建后门帐户来执行有害活动或者试图通过提出恶意请求来破坏Web服务器。
跟踪各种攻击是很困难的但是把它们分解成几个具体步骤会给你提供常见的攻击行为活动模式,相关性是在日志数据中寻找这些模式的完美方法
EventLog Analyzer相关性引擎能夠将来自网络的源日志关联起来,以便即时发现在不同日志源上发生的攻击模式一旦监测到攻击,解决方案的相关性模块会发出实时查看全球网络攻击电子邮件或短信通知在您的帮助台中创建新的工单以确保问责完善,并提供全方位的事件报表汇总所有相关事件以加速补救措施。
目前提供25种预定义的攻击规则还提供了创建或更新攻击定义的功能,以适应业务环境并尽量减少误报
-
监测暴力攻击:EventLog Analyzer掃描具有高优先级的关键服务器和工作站的登录事件。默认情况下解决方案的相关性引擎识别单个设备何时在十分钟内经历十次失败的登录,然后在下一分钟内成功登录如果它监测到这样的攻击,它会发出告警并创建一个详细说明违反的设备和登录事件的报表
-
监测后門账户:EventLog Analyze监视您网络设备中的特权用户活动。它的相关性引擎通过识别在一个小时内创建和删除的用户帐户来发现特权用户活动中的异常匼法账户是有计划地被创建或删除的,所以在短时间内创建和删除一个随机账户肯定是可疑的EventLog Analyzer一旦检测到异常用户帐户,就实时查看全浗网络攻击发出告警生成事件报表,该报表包含异常帐户和用于创建该异常帐户的特权帐户的详细信息
-
监测可疑的勒索软件活动:EventLog Analyzer审计所有Windows系统上的文件操作。勒索软件攻击通常是在新启动的进程中修改网络设备上的多个文件所有这些都是为了加密文件,所以EventLog Analyzer的相关性引擎寻找在启动后五分钟内修改文件的进程如果一个进程在接下来的半小时内修改至少十五个文件,EventLog Analyzer会发出告警并创建一个事件报表來标识事件进程和受影响的文件。
-
监测可疑的蠕虫活动: 蠕虫传播速度很快它会在网络各种设备上快速安装一个未经授权的服务用于传播活动。聚合来自所有Windows设备的系统事件的相关性引擎通过检测在十五分钟内安装在网络上至少五个设备上的单个服务来实现这一点。该解決方案可以发出即时的告警并生成关于恶意程序和受感染系统的深入报表,以便快速采取纠正措施并防止蠕虫感染网络上的其他设备。
-
EventLog Analyzer会发出告警并创建带有恶意请求详细信息的报表如果此阈值产生过多的误报或错过真正的攻击,您可以自定义此阈值以适应您的网络
经验内容仅供参考,如果您需解决具体问题(尤其法律、医学等领域)建议您详细咨询相关领域专业人士。