如何利用日志相关性实时监测网络攻击?

2018-11-07 07:15
网络安全和信息化 2018年9期
关键词:帐户网络设备日志

网络攻击的方式是不断变化且不可预知的。虽然传统的破解账户密码行为仍主要是暴力攻击,但用来攻击加密数据的勒索软件攻击行为却变得越来越多样化。此外,也存在一些来自攻击者的其他威胁,如创建后门帐户,或提出恶意请求来破坏Web服务器。跟踪各种攻击很困难,但把它们分解成几个具体步骤就能够总结出一些常见攻击的活动模式。相关性是在日志数据中寻找这些模式的良好方法。

通过日志数据相关性监测复杂的攻击

ManageEngine EventLog Analyzer的相关性引擎能够将来自网络的源日志关联起来,以便即时发现在不同日志源上发生的攻击模式。一旦监测到攻击,相关性模块会发出实时电子邮件或短信通知,在您的帮助台中创建新的工单以确保问责完善,并提供多方位的事件报表,汇总相关事件以加速补救措施。EventLog Analyzer目前提供25种预定义的攻击规则,它还提供了创建或更新攻击定义的功能,以适应您的业务环境并尽量减少误报。

如何监测恶意URL请求

EventLog Analyzer集中存储和分析Web服务器日志,如IIS和Apache服务器日志。然后通过日志数据监测在URL参数中使用恶意数据的HTTP请求。默认情况下,如果在两分钟内发出5个此类恶意请求,所有源代码都来自同一个源IP地址,EventLog Analyzer会发出告警并创建带有恶意请求详细信息的报表。如果此阈值产生过多误报或错过真正的攻击,您可以自定义此阈值以适应您的网络。

如何监测暴力攻击

EventLog Analyzer扫描具有高优先级的关键服务器和工作站的登录事件。默认情况下,解决方案的相关性引擎识别单个设备何时在10分钟内经历10次失败的登录,然后在下1分钟内成功登录。如果它监测到这样的攻击,会发出告警并创建一个详细说明违反的设备和登录事件的报表。

如何监测异常用户帐户创建

EventLog Analyze监视您网络设备中的特权用户活动。它的相关性引擎通过识别在一个小时内创建和删除的用户帐户来发现特权用户活动中的异常。合法账户是有计划地被创建或删除的,所以在短时间内创建和删除一个随机账户则是可疑的。EventLog Analyzer一旦检测到异常用户帐户,就实时发出告警,生成事件报表,该报表包含异常帐户和用于创建该异常帐户的特权帐户的详细信息。

如何监测可疑的勒索软件活动

EventLog Analyzer审计所有Windows系统上的文件操作。勒索软件攻击通常是在新启动的进程中修改网络设备上的多个文件,这些都是为了加密文件,所以EventLog Analyzer的相关性引擎寻找在启动后5分钟内修改文件的进程。如果一个进程在接下来的半小时内修改至少15个文件,EventLog Analyzer会发出告警,并创建一个事件报表来标识事件进程和受影响的文件。

EventLog Analyzer如何监测可疑的蠕虫活动

蠕虫传播速度很快,它会在各种网络设备上快速安装一个未经授权的服务用于传播活动。EventLog Analyzer聚合来自Windows设备的系统事件。EventLog Analyzer的相关性引擎通过检测在15分钟内安装在网络上至少5个设备上的单个服务来实现这一点。该解决方案可以发出即时告警,并生成关于恶意程序和受感染系统的深入报表,以便快速采取纠正措施,并防止感染其他设备。

电话:4006608680

网址:www.manageengine.cn

关注微信

猜你喜欢
帐户网络设备日志
网络设备的安装与调试课程思政整体设计
一名老党员的工作日志
扶贫日志
断开Windows10和微软帐户链接
一种基于C# 的网络设备自动化登录工具的研制
雅皮的心情日志
游学日志
Analysis of Strategies and Procedures Employed in Translating Literary and Non—literary Texts from the Perspective of Functionalist Theory
地铁通信网络设备的维护