Обнаружение по аномалиям
Что такое Обнаружение по аномалиям?
Обнаружение по аномалиямПодход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные.
Обнаружение по аномалиям с помощью статистических моделей, эвристик или машинного обучения изучает, как выглядит «норма» для сети, хоста, пользователя или приложения, и формирует оповещения при значимом отклонении от этой базовой линии. Подход дополняет сигнатурное обнаружение, потому что позволяет видеть неизвестные угрозы, внутренние злоупотребления, новое вредоносное ПО и скрытые атаки, которые ещё не описаны сигнатурами. Реализации включают UEBA, аналитику NDR/XDR, поведенческое профилирование на основе NetFlow и анализ DNS-трафика. Цена — больше ложных срабатываний (легитимные изменения тоже выглядят аномально), поэтому нужны выверенные окна обучения, обратная связь, настройка порогов и работа аналитиков.
● Примеры
- 01
UEBA отмечает сервисный аккаунт, неожиданно проходящий аутентификацию из новой страны в 02:00.
- 02
NDR оповещает о трёхкратном росте исходящего трафика с сервера БД без изменений в развёртывании.
● Частые вопросы
Что такое Обнаружение по аномалиям?
Подход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Обнаружение по аномалиям?
Подход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные.
Как защититься от Обнаружение по аномалиям?
Защита от Обнаружение по аномалиям обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Обнаружение по аномалиям?
Распространённые альтернативные названия: Поведенческое обнаружение, Эвристическое обнаружение.