网络攻击的方式是不断变化且不可预知的。虽然传统的破解账户密码行为仍然主要是暴力攻击,但用来攻击加密数据的勒索软件攻击行为却变得越来越多样化。除此之外,也存在一些来自攻击者的其它威胁,如他们为自己创建后门帐户来执行有害活动,或者试图通过提出恶意请求来破坏Web服务器。跟踪各种攻击是很困难的,但是把它们分解成几个具体步骤就能够总结为一些常见攻击的活动模式。相关性是在日志数据中寻找这些模式的完美方法。
通过日志数据相关性监测复杂的攻击
EventLog Analyzer的相关性引擎能够将来自网络的源日志关联起来,以便即时发现在不同日志源上发生的攻击模式。一旦监测到攻击,相关性模块会发出实时电子邮件或短信通知,在您的帮助台中创建新的工单以确保问责完善,并提供全方位的事件报表,汇总所有相关事件以加速补救措施。EventLog Analyzer目前提供25种预定义的攻击规则,它还为您提供了创建或更新攻击定义的功能,以适应您的业务环境并尽量减少误报。
相关性使用案例: 网络安全攻击
监测恶意URL请求
黑客发送连续的恶意请求,针对Web服务器应用程序漏洞,试图利用它们并侵入网络。虽然偶然的恶意请求可能随机发送,但监测目标攻击是至关重要的。监测这种集中入侵的一种方法是分析Web服务器日志和事件日志,以便在有限的时间范围内对来自同一源的一系列恶意URL请求进行分析。
EventLog Analyzer如何监测恶意URL请求
EventLog Analyzer集中存储和分析Web服务器日志,如IIS和Apache服务器日志。然后,通过日志数据监测在URL参数中使用恶意数据的HTTP请求。默认情况下,如果在两分钟内发出五个这样的恶意请求,所有源代码都来自同一个源IP地址,EventLog Analyzer会发出告警并创建带有恶意请求详细信息的报表。如果此阈值产生过多的误报或错过真正的攻击,您可以自定义此阈值以适应您的网络。
监测暴力攻击
暴力攻击是黑客攻击网络最基本、最有效的手段之一。在典型的暴力攻击中,入侵者试图通过输入各种登录凭证来获得对网络设备的访问,直到成功为止。复杂的暴力攻击通过自动化技术来快速地尝试不同的密码组合。如果不检查,这种尝试方法将产生巨大的影响。
EventLog Analyzer如何监测暴力攻击
EventLog Analyzer扫描具有高优先级的关键服务器和工作站的登录事件。默认情况下,解决方案的相关性引擎识别单个设备何时在十分钟内经历十次失败的登录,然后在下一分钟内成功登录。如果它监测到这样的攻击,它会发出告警并创建一个详细说明违反的设备和登录事件的报表。
监测异常用户帐户创建
攻击者通常通过首先访问特权用户帐户,创建自己的临时后门帐户,使用该帐户来秘密访问网络上的一些关键资源,最后他们删除该帐户并离开,不留下任何痕迹。后门帐户是严重的威胁,因为它们可能被用于各个层面,从数据窃取到特权滥用。虽然黑客最初侵入您网络的方式和他们可以执行的恶意活动的类型各不相同,但您可以通过寻找异常的用户帐户创建来检查后门账户。
EventLog Analyzer如何监测异常用户帐户创建
EventLog Analyze监视您网络设备中的特权用户活动。它的相关性引擎通过识别在一个小时内创建和删除的用户帐户来发现特权用户活动中的异常。合法账户是有计划地被创建或删除的,所以在短时间内创建和删除一个随机账户肯定是可疑的。EventLog Analyzer一旦检测到异常用户帐户,就实时发出告警,生成事件报表,该报表包含异常帐户和用于创建该异常帐户的特权帐户的详细信息。
监测可疑的勒索软件活动
勒索软件是一种恶意软件,通过加密来控制您的关键数据。一旦勒索软件感染了您的网络中一个设备,它很快就开始加密您的所有文件,并通过内置的机制水平传播,影响更大范围的系统。采取预防措施非常重要,同样重要的是要有一个全方位的系统可以及时监测勒索软件,并停止恶意软件的传播。一旦所有的数据都被加密,攻击者要求支付赎金才可以释放数据。勒索软件攻击每天都在发生,这会给公司带来很多麻烦,因为数据是他们最有价值的资产之一。
EventLog Analyzer如何监测可疑的勒索软件活动
EventLog Analyzer审计所有Windows系统上的文件操作。勒索软件攻击通常是在新启动的进程中修改网络设备上的多个文件,所有这些都是为了加密文件,所以EventLog Analyzer的相关性引擎寻找在启动后五分钟内修改文件的进程。如果一个进程在接下来的半小时内修改至少十五个文件,EventLog Analyzer会发出告警,并创建一个事件报表来标识事件进程和受影响的文件。
监测可疑的蠕虫活动
一些恶意软件程序往往通过使用一些漏洞和从系统到系统的扩散来接管网络。操作系统和应用程序总是有漏洞。其中一些可能是未知的,并没有补丁可用,而一些是已知的,但也留下很多未修补的补丁。黑客利用这些漏洞,并设计一个蠕虫来感染您的网络。在这些情况下,您可能无法阻止恶意软件进入您的系统,但您可以监测可能的蠕虫活动的迹象,并控制它的蔓延。
EventLog Analyzer如何监测可疑的蠕虫活动
蠕虫传播速度很快,它会在网络各种设备上快速安装一个未经授权的服务用于传播活动。EventLog Analyzer聚合来自所有Windows设备的系统事件。EventLog Analyzer的相关性引擎通过检测在十五分钟内安装在网络上至少五个设备上的单个服务来实现这一点。该解决方案可以发出即时的告警,并生成关于恶意程序和受感染系统的深入报表,以便快速采取纠正措施,并防止蠕虫感染网络上的其他设备。