国内高防cdn_ddos防护手段有_新用户优惠-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > 国内高防cdn_ddos防护手段有_新用户优惠

国内高防cdn_ddos防护手段有_新用户优惠

小墨安全管家 2021-05-02 11:15 DDOS防御 89 ℃
DDoS防御

国内高防cdn_ddos防护手段有_新用户优惠

你咨询的大多数SOC分析师,包括我在内,都会告诉你他们最爱慕的行业工具是EDR(端点检测和响应)工具。这是有缘由的:70%的妥协仍然发生在端点,EDR工具提供了端点检测和记录功能,安全分析师需要这些功能来说述发生了啥。然而,说述那个故事特别费时,DDoS高防,因为EDR记录了大量的数据。EDR遥测并不能解释网络上分析师能够获得的所有其他安全信号,比如云基础设施和应用程序。所有这些信号关于关心分析员弄清发生了啥都特别重要。你有没实用Excel来记录Windows事件日志?是啊,我也是。特别痛苦。EDR工具在发觉邪恶方面特别出色,然而假如你必须在100K节点环境中使用被盗凭证跟踪坏人,这么它们不就是你的目标。如今,EDR并不完美。他们不大概发觉一切。这算是纵深谨防战略这样重要的缘由。这么,我们怎么才干从一具清楚易明晓的角度了解所有的安全信号呢?嗯,我们的很多客户正是为了那个目的而使用Exabeam。为啥要Exabeam?Exabeam Advanced Analytics经过识别高风险、异常用户和实体活动来检测威胁。这是经过使用机器学习来为环境中所实用户和实体的正常活动建立基线的。一旦基线可用,系统会自动检测与该基线、同级组基线和整个组织的基线相比的偏差,并为该活动分配风险评分。每次触发规则时,系统都会为该用户或实体味话(大约一天的活动)累积一具风险评分。一旦风险评分达到阈值,您将收到一具显著的用户警报。从警报中,您能够调查用户的会话,该会话包含所有记录的事件和触发的规则。在证券市场上,异常检测能够等同于蛇油。但那个地点不是如此。Exabeam将我们所有的纵深谨防安全信号缝合在一起,以全面了解发生了啥。下面是一些例子,讲明Expel怎么利用这种洞察力告诉我们一些我们不懂的情况,假如没有Exabeam如此的工具,我们大概也不大概懂。快速和肮脏的事件时刻表当你需要快速的答案当我们识别安全事件时,收集所有必要的数据以形成一具完整的时刻轴(Windows事件日志、EDR事件、身份验证日志)通常是一项耗时的工作。诚实讲,我们不管怎么都会那样做,以确保我们不大概错过任何东西。但我们也努力尽快为客户提供答案。例如,Expel最近响应了一具事件,其中攻击者基本在端点上。攻击者试图用powerspolit升级权限。客户的EDR对此活动发出警报,但并不是最初的妥协。关于这起事件,我们将提出以下普通性调查咨询题,并从那个地点展开:攻击者在那个主机上做了啥?攻击者是否横向挪移到其他主机?攻击者是否有权访咨询任何其他帐户?攻击者是怎么进入这种环境的?传统的响应范围界定要求我们收集、分析和审查EDR事件和Windows事件日志(假设这是Windows的妥协),一旦确定了新的线索,就转向其他数据源。或者我们能够在Exabeam中简单地查看用户或实体时刻轴。图1:Exabeam智能时刻线将数据源和EDR警报放在一起举行审查如今,借助Exabeam,我们能够确定攻击者经过Citrix Netscaler VPN获得了对环境的初始访咨询权限。幸运的是,关于我们的响应者来讲,用户在会话中几乎没有活动,所以我们特别容易将所有这些活动归因于攻击者。授权用户当时不在网络上,无法将授权用户活动注入时刻线。沿着时刻线向下挪移,我们看到攻击者访咨询了公布的VDI,我们从中收到了原始的EDR警报。我们还将用户的web活动缝合到Exabeam会话中,并确定攻击者直截了当从Github挪移VDI上的登台工具。图2:那个地点我们看到攻击者访咨询了公布的VDI,并直截了当从Github挪移了VDI上的登台工具最终,我们看到实际的EDR警报被缝合到会话时刻轴中,其中powerspolit足本被EDR阻挠执行。我们甚至不看EDR数据,就经过智能时刻线相对准确地回答了所有调查咨询题。攻击者在那个主机上做了啥?他或她下载了各种攻击后工具来升级权限,这些权限被EDR阻挠执行。攻击者是否横向挪移到其他主机?经过将Windows事件日志缝合到会话中,我们能够看到没有其他用户帐户访咨询环境。攻击者是否有权访咨询任何其他帐户?那个咨询题回答起来有些棘手,因为我们在Exabeam中只查看一具用户会话,然而我们能够判断攻击者被限制在那个单一的帐户上,因为他或她被隔离到一具单独的配置的VDI中。攻击者是怎么进入这种环境的?我们特别快发觉了经过Netscaler VPN对Citrix环境举行身份验证的访咨询,这项任务需要分析员花费数小时来识别原始数据的手动响应范围。在EDR中没有触发警报的活动的可见性关于分析人员和响应者来讲,确定攻击者在事件发生的时刻范围内所做的一切基本上一项挑战。在那个例子中,我们展示了端点事件响应中涉及的一些细微差别和冗长的过程。每天大概有数百万个端点事件发生。这是大量的数据,供人类梳理以确定事件发生的时刻。假如一具事件持续了几天、几周甚至几个月呢?那个地点有一具例子:Expel响应了一具由EDR首先检测到的入侵,这是由于攻击者部署了一具钴攻击信标后门。对端点的进一步分析显示,攻击者使用各种开源工具对网络和活动名目(AD)环境举行侦察。在Exabeam中回忆那个用户的会话给了我们特别多有见地的数据。经过主机响应从EDR数据中识别出的所有活动都在Exabeam时刻表中得到验证:EDR警报之前是各种侦察活动。与前面的折衷示例一样,此授权用户的网络活动有限,上一次会话发生在20天前。有味的是,之前的会话显示攻击者在环境中处于活动状态;他或她正在执行相同的侦察活动。然而,由于攻击者在前一具会话中执行的活动不需要累积风险评分,Exabeam不大概生成警报。更具体地讲,攻击者没有执行最初引起Expel注意的Beacon PowerShell活动,DDoS防御,所以在之前的会话中没有发生EDR检测。(稍后再谈那个。)Exabeam在确定攻击者在环境中的驻留时刻方面很有价值——这在EDR技术中并不总是显而易见的。EDR数据保留有时对端点是有限制的,依照技术的不同,DDoS防御,数据保留的范围从最多存储一具月的数据到几个小时的数据。传统的IOC作用域,非常是在VPN/AD凭据受损的事情下,大概不大概发觉攻击者。把它们放在一起Exabeam是一种机器学习(ML)技术,与任何ML技术一样,它需要一些TLC。假如你花时刻去调整它,你能够从中得到一些不可思议的好处。以下是我们学到的对于Exabeam的三大诀窍:发送正确的数据到Exabeam。Windows事件日志、身份验证日志(全部!),web网关日志和安全事件(EDR、AV、NSM等)是一具特别好的开始专业提示:用户对Windows进程执行的异常检测(Windows Event 4688)很棒!Exabeam本机提供了数百个数据解析器,以消耗向它抛出的几乎所有数据。依照组织的风险状况修改规则风险评分。违约风险评分并不是衡量一具组织中风险的万能想法。你的组织最担心的是内部数据盗窃吗?增加这些规则的风险评分。下面的流程执行示例是我个人挑选提升的一具。不要太快引入对数据模型(尤其是web网关日志)有特别大阻碍的新的、大容量的数据集。在启用规则集并将其用作生产工具之前,允许系统自行学习45天。当您向现有模型中添加一组新数据时,所有这些新数据都会变成异常。你不一定想要那么。假如您发觉自个儿处于这种事情,DDoS防御,请将受阻碍规则的风险评分落低到零,直到数据模型跟上(或问Exabeam合作伙伴以获得关心)。假如您正在思量投资Exabeam如此的工具,还需要思量以下几点:EDR并不能捕捉到所有的东西,非常是凭证的异常使用。像Exabeam如此的异常检测平台能够在那个部门中出类拔萃。请记住,UEBA平台真的需要一定数量的监督来防止误报,但您将有更好的机遇浮上一些传统安全工具大概无法捕捉到的东西。事件响应很耗时。有特别多数据需要筛选以描绘出事件发生后发生的全部事情。像Exabeam如此的UEBA平台做了一具rad工作,关心将所实用户或实体上下文缝合在一起,从而为您提供攻击者活动的全面时刻表。编者按:原文是pub


DDoS防御

当前位置:主页 > DDOS防御 > 国内高防cdn_ddos防护手段有_新用户优惠

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119