網(wǎng)絡(luò)攻擊的方式是不斷變化且不可預(yù)知的。雖然傳統(tǒng)的破解賬戶密碼行為仍主要是暴力攻擊，但用來(lái)攻擊加密數(shù)據(jù)的勒索軟件攻擊行為卻變得越來(lái)越多樣化。此外，也存在一些來(lái)自攻擊者的其他威脅，如創(chuàng)建后門帳戶，或提出惡意請(qǐng)求來(lái)破壞Web服務(wù)器。跟蹤各種攻擊很困難，但把它們分解成幾個(gè)具體步驟就能夠總結(jié)出一些常見(jiàn)攻擊的活動(dòng)模式。相關(guān)性是在日志數(shù)據(jù)中尋找這些模式的良好方法。

通過(guò)日志數(shù)據(jù)相關(guān)性監(jiān)測(cè)復(fù)雜的攻擊

ManageEngine EventLog Analyzer的相關(guān)性引擎能夠?qū)?lái)自網(wǎng)絡(luò)的源日志關(guān)聯(lián)起來(lái)，以便即時(shí)發(fā)現(xiàn)在不同日志源上發(fā)生的攻擊模式。一旦監(jiān)測(cè)到攻擊，相關(guān)性模塊會(huì)發(fā)出實(shí)時(shí)電子郵件或短信通知，在您的幫助臺(tái)中創(chuàng)建新的工單以確保問(wèn)責(zé)完善，并提供多方位的事件報(bào)表，匯總相關(guān)事件以加速補(bǔ)救措施。EventLog Analyzer目前提供25種預(yù)定義的攻擊規(guī)則，它還提供了創(chuàng)建或更新攻擊定義的功能，以適應(yīng)您的業(yè)務(wù)環(huán)境并盡量減少誤報(bào)。

如何監(jiān)測(cè)惡意URL請(qǐng)求

EventLog Analyzer集中存儲(chǔ)和分析Web服務(wù)器日志，如IIS和Apache服務(wù)器日志。然后通過(guò)日志數(shù)據(jù)監(jiān)測(cè)在URL參數(shù)中使用惡意數(shù)據(jù)的HTTP請(qǐng)求。默認(rèn)情況下，如果在兩分鐘內(nèi)發(fā)出5個(gè)此類惡意請(qǐng)求，所有源代碼都來(lái)自同一個(gè)源IP地址，EventLog Analyzer會(huì)發(fā)出告警并創(chuàng)建帶有惡意請(qǐng)求詳細(xì)信息的報(bào)表。如果此閾值產(chǎn)生過(guò)多誤報(bào)或錯(cuò)過(guò)真正的攻擊，您可以自定義此閾值以適應(yīng)您的網(wǎng)絡(luò)。

如何監(jiān)測(cè)暴力攻擊

EventLog Analyzer掃描具有高優(yōu)先級(jí)的關(guān)鍵服務(wù)器和工作站的登錄事件。默認(rèn)情況下，解決方案的相關(guān)性引擎識(shí)別單個(gè)設(shè)備何時(shí)在10分鐘內(nèi)經(jīng)歷10次失敗的登錄，然后在下1分鐘內(nèi)成功登錄。如果它監(jiān)測(cè)到這樣的攻擊，會(huì)發(fā)出告警并創(chuàng)建一個(gè)詳細(xì)說(shuō)明違反的設(shè)備和登錄事件的報(bào)表。

如何監(jiān)測(cè)異常用戶帳戶創(chuàng)建

EventLog Analyze監(jiān)視您網(wǎng)絡(luò)設(shè)備中的特權(quán)用戶活動(dòng)。它的相關(guān)性引擎通過(guò)識(shí)別在一個(gè)小時(shí)內(nèi)創(chuàng)建和刪除的用戶帳戶來(lái)發(fā)現(xiàn)特權(quán)用戶活動(dòng)中的異常。合法賬戶是有計(jì)劃地被創(chuàng)建或刪除的，所以在短時(shí)間內(nèi)創(chuàng)建和刪除一個(gè)隨機(jī)賬戶則是可疑的。EventLog Analyzer一旦檢測(cè)到異常用戶帳戶，就實(shí)時(shí)發(fā)出告警，生成事件報(bào)表，該報(bào)表包含異常帳戶和用于創(chuàng)建該異常帳戶的特權(quán)帳戶的詳細(xì)信息。

如何監(jiān)測(cè)可疑的勒索軟件活動(dòng)

EventLog Analyzer審計(jì)所有Windows系統(tǒng)上的文件操作。勒索軟件攻擊通常是在新啟動(dòng)的進(jìn)程中修改網(wǎng)絡(luò)設(shè)備上的多個(gè)文件，這些都是為了加密文件，所以EventLog Analyzer的相關(guān)性引擎尋找在啟動(dòng)后5分鐘內(nèi)修改文件的進(jìn)程。如果一個(gè)進(jìn)程在接下來(lái)的半小時(shí)內(nèi)修改至少15個(gè)文件，EventLog Analyzer會(huì)發(fā)出告警，并創(chuàng)建一個(gè)事件報(bào)表來(lái)標(biāo)識(shí)事件進(jìn)程和受影響的文件。

EventLog Analyzer如何監(jiān)測(cè)可疑的蠕蟲活動(dòng)

蠕蟲傳播速度很快，它會(huì)在各種網(wǎng)絡(luò)設(shè)備上快速安裝一個(gè)未經(jīng)授權(quán)的服務(wù)用于傳播活動(dòng)。EventLog Analyzer聚合來(lái)自Windows設(shè)備的系統(tǒng)事件。EventLog Analyzer的相關(guān)性引擎通過(guò)檢測(cè)在15分鐘內(nèi)安裝在網(wǎng)絡(luò)上至少5個(gè)設(shè)備上的單個(gè)服務(wù)來(lái)實(shí)現(xiàn)這一點(diǎn)。該解決方案可以發(fā)出即時(shí)告警，并生成關(guān)于惡意程序和受感染系統(tǒng)的深入報(bào)表，以便快速采取糾正措施，并防止感染其他設(shè)備。

電話：4006608680

網(wǎng)址：www.manageengine.cn

關(guān)注微信