香港高防cdn_cc高防_打不死-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防火墙 > 香港高防cdn_cc高防_打不死

香港高防cdn_cc高防_打不死

小墨安全管家 2021-05-02 18:28 CC防火墙 89 ℃
DDoS防御

香港高防cdn_cc高防_打不死

咨询专家博客系列在过去,安全信息和事件治理(SIEM)技术要紧依靠于特征码来检测不良行为。与早期不同的是,现代的SIEM解决方案如今提供了现成的关联规则和复杂的模型,以显示大量异常行为和事件。一旦您了解了它们的工作原理,您特别大概希翼定制这些资源,CC防御,并且还要添加您自个儿的规则和模型,以适应您组织的独特事情。关联规则和模型都在SIEM操作中占有一席之地。然而啥时候使用SIEM规则,啥时候使用模型?让我们来看看这些区别。相关规则关联规则,也称为事实规则,是一种逻辑表达式,当发生特定事件时,它会导致系统采取特定的操作。例如,"假如一台计算机有病毒,请提醒用户。"换句话讲,关联规则是一具作为触发器的条件(或一组条件)。关联规则并不明智,它们不评估所评估事件的历史。例如,他们不关怀昨天一台计算机是否有病毒;它只关怀在执行规则时系统被感染的事情。此外,每次执行一具集时都会计算相关规则-系统不思量任何其他数据来确定是否要计算关联规则。关联规则能够是简单的,能够独立操作,也能够是处理事件组合的复合规则。简单的SIEM规则检测事件类型并触发响应。例如,假如将ZIP文件附加到电子邮件,则会触发警报。复合规则嵌套或连接两个或多个规则以实现更复杂的行为。例如,假如对同一台计算机的七次身份验证尝试在十分钟内从同一具IP地址失败并使用不同的用户名,同时假如在网络中的任何计算机上成功登录同时来自同一具IP地址,DDoS防御,则会触发警报。关联规则依靠于您的知识和经验来发觉错误行为,而不是依靠于智能系统的任何属性。要编写关联规则,必须了解要发觉的不良行为。关联规则示例以下是一些实际关联规则的示例:假如一具用户在一具小时内登录同一台计算机的次数超过三次,触发警报。假如大量失败的登录尝试之后浮上成功的登录尝试,则触发警报。在公司范围内裁员期间,假如有超过10个特定类型的文件被复制到USB驱动器或作为电子邮件附件发送到非公司域,则会触发警报。模型模型分析用户或资产行为,当行为偏离正常行为时触发警报。模型识别出异常行为后,使用规则对异常行为举行评估和预警。通常,您能够在模型中定义对不同行为类型举行分类的规则,以便它们能够生成不同的警报配置文件:第一次规则-一具新事件的规则,它超出了你所见过的范围。(如图1所示)异常行为-你见过的事件的规则,但特别少发生。将它们与关联规则区分开来的模型的一具特点是,即使事件发生,它们也不总是被评估或触发,而关联规则总是被评估的。模型中的分类表达式决定其规则是否被触发。例如,惟独当用户是远程用户同时正在第三次尝试创建新的系统帐户时,才需要评估模型。假如一具比一具预先确定的规则更简单的话,一具比一具预先确定的规则更容易被观看到的行为。模型的智能在于它的分类表达式和它监视的事件类型。模型依靠于您定义异常行为结果的能力,以及系统监视和显示此类行为的能力。他们并不要求您深入了解大概危及组织的个别威胁。模型示例下面是一些典型的模型示例。在以下事情下触发警报:用户从正常帐户切换到特权帐户,接着执行与外部服务之间的异常数据传输。用户VPN首次从新位置进入网络,接着访咨询共享文件系统。用户在早晨3点远程登录(通常只在正常工作时刻在本地登录),接着以治理员身份多次尝试连接到生产数据库。注意:与关联规则一样,单个模型评估通常不大概触发警报。相反,系统应用的每个模型都会向给定的会话添加点数。假如会话点超过预定值,系统将触发警报。图1:显示用户首次从纽约网络区域访咨询文件的模型。啥时候应该使用关联规则?您大概以为使用模型是处理所有威胁检测的最佳想法。但在某些事情下,关联规则是最好和最直截了当的挑选。以下是一些经过关联规则处理的最佳示例:监控已知的威胁-关联规则能够轻松检测常见的威胁,黑客反复使用这些威胁试图访咨询您的资源。很多SIEM解决方案都预先设置了处理此类威胁的规则。合规违规-每个行业的组织必须证明他们遵守某些法律、规则和法规,例如GDPR、HITECH和PCI DSS。每个都有能够用关联规则验证的需求。例如,"在任何网络连接的计算机上禁用防病毒软件时发出警报。"基于特征的威胁检测-恶意软件检测系统不断扩展存储库,防DDoS,其中包含数以亿计的已知威胁识别特征。规则是检测这些的最好想法。你应该啥时候使用模型?在以下事情下,您应该挑选模型而不是规则:你不能精确地定义一具事件来识别一具不想要的行为。动态条件使规则过于复杂,或导致它们返回太多误报。以下是一些模型优于的事情:基于行为的威胁-具有多个入口点的动态环境(例如,DDoS防御,职员能够使用自个儿的设备或公司数据存储在云中的组织)对威胁检测系统提出了更高的要求。经过跟踪正常和异常的用户行为,模型能够暴露出大概未被发觉的威胁。数据过滤检测–没有组织希翼将其有价值的数据复制到未知的外部系统。数据外泄通常采取黑客获得访咨询权的形式,接着在整个网络中横向挪移,以发觉大概被盗的资产。有时你自个儿的职员或最近的前职员会试图拿走他们能得到的任何东西。零日威胁-依照定义,尚未遇到零日威胁,所以无法经过关联规则准确识别。您能够使用模型来检测这些威胁的结果,想法是识别它们不需要的行为,例如横向挪移、异常或远程登录、文件访咨询和异常数据上载。我只触及了规则和模型功能的表面。我们在白皮书、培训和询咨询专家网络研讨会录音中有更多细节。以下是一些能够让您深入了解SIEM规则和模型的内容:规则与模型白皮书高级分析规则:Exabeam询咨询专家网络研讨会档案模型:Exabeam询咨询专家网络研讨会档案


DDoS防御

当前位置:主页 > CC防火墙 > 香港高防cdn_cc高防_打不死

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119