账号异常相关安全分析场景

时间:2021-09-13来源:栏目:网络营销

网络设备、安全设备、操作系统、中间件和应用系统都有账号,只要有账号,就会涉及到对异常账号(状态)和异常账号(行为)的安全监控和分析。从风险类型来看,账户异常涉及内部违规、...

网络设备、安全设备、操作系统、中间件和应用系统都有账号,只要有账号,就会涉及到对异常账号(状态)和异常账号(行为)的安全监控和分析。从风险类型来看,账户异常涉及内部违规、蛮力破解、账户丢失和程序错误,在日常安全监控和态势感知中发挥着非常重要的作用。

账户异常与UEBA有很大关系,UEBA也关注用户(账户)和行为(操作)。不同的是,除了关联分析方法之外,UEBA可能会使用机器学习算法或将它们有机地结合起来。主要总结异常账号相关的关联分析场景。

场景一:绕过堡垒机违规登陆服务器行为检测

场景描述:登录系统的用户的源IP不属于fort和softmachine的IP范围,判定为系统管理员非法登录系统。

分析方法:登录服务器源IP地址与堡垒设置IP地址不匹配。

数据来源:操作系统日志,堡垒机器的IP列表。

解决方案:配置访问控制策略,只允许服务器从堡垒基机登录。

场景二:服务器发生安全攻击事件后创建新账号

场景描述:服务器被安全攻击告警后,发生创建账号事件,判断服务器已经失控。

分析方法:在特定时间(1天)内,服务器遭受安全攻击,在同一个目的IP上发生创建账户事件。

数据来源:安全设备报警(IDS、IPS等)。),操作系统日志。

解决方法:检查被攻击的服务器是否在控制之下,确认账号创建是否异常。

场景三:设备/系统/应用遭受暴力破解攻击分析

场景描述:设备/系统/应用出现大量账号登录失败,判断设备/系统/应用受到蛮力攻击。

分析方法:在特定时间(10分钟)内,同一设备/系统/应用出现大量(10次以上)登录失败。

数据来源:设备/系统/应用登录日志。

解决方案:检查登录失败事件是安全攻击还是管理员的行为。

根据账户登录失败的分析场景,除了需要特别关注安全设备,还需要特别关注暴露在互联网上的设备、系统与应用,暴露在互联网上的安全设备尤其要特别关注。.

当然,如果账户登录失败的次数很多,可能不一定是蛮力攻击,也可能是管理员人为输入了错误的密码。当时,需要综合安全设备告警,以及账号登陆失败事件的源地址和目的地址,来进行综合判断.

还有一种情况需要注意。如果账号登录失败经常发生,比如每个一个小时,每次都是整点,每次事件次数相同,可能是程序配置错误导致的,需要运维人员检查。

每个账户异常安全分析场景都可以进行从同一源地址、同一目的地址、同一账号来分别建立分析规则,和外网地址和内网地址的进一步细化。

而且账号异常的事件可以重新关联,可以扩展很多分析场景。下面是一些基于账号登录失败的典型分析场景。

通用账号异常关联分析拓展场景

场景一:多次失败的账号登录事件后,出现成功的账号登录事件,可能导致暴力破解成功。

扩展场景2:暴力破解成功后(扩展场景1),出现创建新账户/修改权限/修改密码等行为和事件,入侵后可能导致权限提升或破坏。

场景三:暴力破解成功,新账号(场景二)后,出现账号删除事件,可能会消除入侵后的入侵痕迹。

FTP账号异常关联分析拓展场景

场景一:多次失败的账号登录事件后,出现成功的账号登录事件,可能导致暴力破解成功。

场景二:暴力破解成功后(场景一),账号下载文件数据,成功入侵后窃取数据。

场景三:暴力破解成功后(场景一),账户上传文件数据,成功入侵后数据被篡改。

账号状态异常关联分析拓展场景

场景一:在特定时间内,同一账号在2个以上不同地点登录,账号可能会丢失。

场景二:在特定时间内,同一账号登录2台以上不同设备,可能会出现连续使用账号的情况。

场景三:高价值账户(如VPN账户)在不可信的地方(如海外地址)登录,可能已经丢失。

由于总结:的网络设备、安全设备、操作系统、中间件、应用系统的日志都是安全分析数据源中的高置信度数据,所以与账户异常相关的安全分析场景都非常有效。此外,还可以进一步探索相关的安全分析场景,从而发现安全设备警报看不到的许多风险。

展开本文中的相关链接。

与威胁相关的安全分析场景。

攻击链在大数据安全分析中的应用。

复杂事件处理(CEP)引擎介绍。

复杂事件处理导论。

关联分析导论。

1.本站部分来源于互联网用户自主整合上传,如有侵权,请联系我们删除;

2.文章内容并不代表本站的观点或立场,如有关于文章内容,版权或其它问题请联系删除;

3.本文地址:https://jiatu888.com/wlyx/83541.html

最新文章

网站介绍

本站部分内容收集于互联网,如有侵犯贵司(个人)版权,请联系本站删除。

Copyright@2018-2021 www.jiatu888.com 嘉图网 All Rights Reserved 粤ICP备20051635号 网站地图 tag列表

嘉图网