|
Tarmoq trafigini tahlil qilish tizimlari (NTA)
|
bet | 3/12 | Sana | 13.01.2024 | Hajmi | 7,11 Mb. | | #136424 |
Bog'liq 1-2-3-4 amaliy ishlarTarmoq trafigini tahlil qilish tizimlari (NTA).
Tarmoq trafigini tahlil qilish (NTA) tizimlari tarmoq hujumlarini aniqlash, tarmoq trafigini ushlab turish va tahlil qilish uchun mo'ljallangan. Bu sinflar tizimi hujumning dastlabki bosqichida tajovuzkorlarning mavjudligini aniqlashga, tahdidlarni tezda lokalizatsiya qilishga, shuningdek, axborot xavfsizligi qoidalariga rioya etilishini ta'minlashga yordam beradi.
Standart tarmoq analizatorlaridan (IDS / IPS) farqli o'laroq, NTA tizimlari nafaqat perimetrda, balki IT infratuzilmasida ham trafikni tahlil qiladi. Bundan tashqari, zamonaviy imzolarning paydo bo'lishi bilan NTA sinfidagi yechimlar arxivda saqlanadigan tarmoq trafigini tahlil qila olishi kerak (retrospektiv tahlil).
NTA sinf yechimlari murakkab maqsadli hujumlar aniqlangan holatlarda SIEM sinf yechimlari uchun tarmoq hodisalarining qo'shimcha manbai bo'lishi mumkin.
Amalda, bunday yechimlar, masalan, ruxsatsiz xostdan domen boshqaruvchisiga ulanishning shubhali urinishini aniqlashga, so'ngra xostning tarmoq faoliyati haqidagi tarixiy ma'lumotlarni tahlil qilishga va shunga o'xshash boshqa urinishlar bo'lganligini tekshirishga imkon beradi. Agar ular sodir bo'lgan bo'lsa, unda bu maqsadli hujum yoki hech bo'lmaganda xakerlik urinishlari haqida bo'ladi.
Oxirgi nuqta hujumini aniqlash (EDR).
Endpoint Detection and Response (EDR) tizimi kompyuter qurilmalariga so'nggi hujumlarini aniqlash imkonini va axborot xavfsizligi bo'yicha mutaxassislarning javoblari uchun zarur ko'rsatkichlarni beradi.
Ushbu turdagi yechimlar odatda oxirgi qurilmaga o'rnatilgan maxsus agentdan foydalanadi. Uning funksiyalari foydalanuvchilar va dasturiy ta'minotning faoliyati to'g'risidagi ma'lumotlarni to'plash, murosaga kelish belgilarini aniqlash (murosa ko'rsatkichlari, IOC), buzilgan qurilmalarni aniqlash va lokalizatsiya qilishda yordam berish va boshqalarni o'z ichiga oladi.
Amalga oshirilishiga qarab, EDR yechimi turli xil aniqlash texnologiyalarini o'z ichiga olishi mumkin. Masalan, ma'lumotlarni yig'ish va tahlil qilish agentidan tashqari, u xatti-harakatlarni tahlil qilish, murosaga keltirish ko'rsatkichlarini tahlil qilish, shuningdek, tahdid ma'lumotlarini boyitish uchun SIEM tizimlari va Threat Intelligence tizimlari bilan avtomatik ta'sir o'tkazish vositasi bo'lishi mumkin.
EDR tizimlari tashkilotlarga an'anaviy so'nggi nuqta himoyasini chetlab o'tishga mo'ljallangan murakkab tahdidlarni aniqlash imkonini beradi.
Agar tajovuzkor, masalan, fishing yuborish yoki dasturiy xatcho'plar yordamida, maqsadli tizimga kirishga harakat qilsa, xavfsizlik xizmati zarur ma'lumotlarni olish uchun operatsion ma'lumotlarni ta'minlaydigan shunday aniqlash va nazorat qilish vositalariga ega bo'lishi kerak. Agar EDR agenti so'nggi nuqtalarga (serverlar va ish stantsiyalariga) o'rnatilgan bo'lsa, buning natijasida tizimdagi o'zgarishlar real vaqtda tahlil qilinsa, zararli dastur portni ochishi va ma'lumotlarni uzatishni boshlashi bilan, EDR buni yozib oladi va voqealarni uzatadi. SIEM tizimi va xavfsizlik operatori tahdidni blokirovka qilish uchun zarur choralarni ko'radi - portlarni yopish, hujum qilingan segmentni izolyatsiya qilish va hk.
|
| |