К основному контенту

Какие события генерирует UEBA

Решения класса UEBA только появляются на рынке и заказчики только приступают их тестированию. Решение Palo Alto Networks в сегменте UEBA называется Magnifier. Отличительной особенностью этого продукта является то, что свой поведенческий анализ и профиль работы хостов в сети этот продукт строит на основе анализа журналов NGFW. 


Для понимания - продукту UEBA нужен 21 день после инсталляции, чтобы сделать профили поведения каждого хоста. Хотя, например, NGFW видит уже соединения с C&C или вредоносный код сразу после инсталляции. Однако UEBA позволяет увидеть то, что скрыто под потоком журналов. По статистике на на каждые 100 хостов решение UEBA выдает лишь 1 событие о подозрительной активности в день. Это удобно, потому что зайдя раз в день в систему можно успеть проанализировать событие, отреагировать на него - дать задание ИТ службе очистить компьютер от вируса или понять, что это ваша red team шалит и просто добавить в белый список действия сотрудника.
Для многих является загадкой какие же события выдает UEBA на основе анализа. Если кратко, то такой продукт показывает какой процесс на каком хосте от имени какого пользователя делал что-то необычное. Список таких необычных событий можно просто увидеть в документации Вот в виде картинки:

Понятно, что этот список будет еще расширяться по мере развития продукта, но уже здесь видно на что обращает внимание встроенный алгоритм или как сейчас принято называть Machine Learning.


Комментарии

Популярные сообщения из этого блога

Сертификация Palo Alto Networks

Добрый день, коллеги!



В новостной ленте Алексея Лукацкого появилось и затем Алексей Комаров ретвитнул информацию о том, что отменили сертификаты у Palo Alto Networks. 
Это верно, информационное сообщение ФСТЭК тут:
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1516-informatsionnoe-soobshchenie-fstek-rossii-ot-1-fevralya-2018-g-n-240-24-554

Упомянутые сертификаты 2012 года кончаются в апреле 2018 года. Они настолько старые, что относятся к устройствам, которые уже даже не выпускаются: 2000 и 4000 серия, ну и версия операционной системы уже далеко не 4.0, а 8.0. То есть отменили сертификаты которые сами по себе кончаются в апреле 2018 и мало того часть из них на устройства, которые вышли из продажи.

Чтобы продлить эти сертификаты нужно было снова показать исходный код, а делать это для сертификатов которые кончаются через 2 месяца - неэффективно. Поэтому офис Palo Alto Networks сконцентрирован на получении новых сертификатов на новые устройства и на новую…

1 из 10 обязательных функций межсетевого экрана нового поколения

Критерии выбора межсетевого экрана обычно делятся на три основные области:
функции безопасности, удобство управления, производительность.  Функциональные элементы системы безопасности обеспечивают эффективность управления безопасностью и способность вашей команды управлять рисками, связанными с работой приложений в сети. С точки зрения удобства управления самый большой вопрос состоит в том, где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам?
В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность? 

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода з…

Запись с PHD: Демонстрация блокировки криптолокеров на примере locky и wanacrypt0r

Практическая демонстрация блокировки криптолокеров. Видеозапись с конференции Positive Hack Days 2017.
Смотрим:
В процессе демонстрации я использовал криптолокер locky и wanacrypt0r. Защита их блокировала. Чтобы показать, что защита многоэшелонированая, я выключал поочередно функции многоэшелонированной защиты и показывал, что тогда срабатывает следующая техника защиты. В итоге у меня заняло больше часа времени отключение всех имеющихся техник защиты у межсетевого экрана нового поколения и у хостовой защиты нового поколения.
То есть техник защиты у компании Palo Alto Networks достаточно.  Для защиты вам нужно, чтобы хотя бы одна сработала и блокировала криптолокер в вашей компании. А мы вам предлагаем целую пачку техник защиты.

Введение - что будет показано 4:15 показываю слайд какие технологии Threat Intelligence работают в Palo Alto Networks
4:45 рассказываю про функционал и принципы работы хостовой защиты TRAPS
6:10 показываю слайд с описанием техник kill chain, которые мы будем блоки…