UEBA 案例分析之-001

安全分析
收藏
3 1346
Sunny912
ct 未认证 2018-06-05 17:55:13
付费话题:0 积分

1. 用户行为

  1.   1) 公司有一个研发人员,名字叫张三
  2.   2) 通常都是上午 9 点左右开始登录办公网
  3.   3) 然后大部分时间,他都是访问一些研发网站,或者公司的开发环境、测试系统、OA 系统等
  4.   4) 通常下午 6 点左右会退出办公网
  5.   5) 如果有一天,张三中午退出办公网
  6.   6) 从外部地址通过 vpn 登录办公网
  7.   7) 登录办公网后,他直接访问了客户系统,并查找了客户系统中的敏感资源

2. 行为分析

  1.   1) 张三中午退出办公网,虽然跟他以前的行为模式不同,但有可能是正常的,他可能请假,可能出差等等。
  2.   2) 从外部通过 VPN 访问办公系统,需要关注,但也可能是正常行为。
  3.   3) 他从外部登录系统以后,访问了他以前从来没有访问过的客户系统,而且是其中的敏感系统,这大大增加了他行为异常性。
  4.   4) 从以上多个异常情况分析:有可能张三的帐号被攻陷,黑客利用他的帐号登录办公系统;也有可能只是他收了别人的钱,帮别人获取敏感客户的信息。

3. 赛伯坦套件开发平台能做什么

以前的安全系统,通常能检测出其中的一两个异常情况,但并不能将其中的多个异常行为关联起来,而赛伯坦套件开发平台中的 UEBA 功能,却可以将张三的多个行为关联起来,除了异常行为外,还可以看到用户的正常行为,安全分析人员可以在极短的时间内对异常情况进行分析、确认、响应。


回帖