Сетевая безопасность
Обнаружение по аномалиям
Также известно как: Поведенческое обнаружение, Эвристическое обнаружение
Определение
Подход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные.
Примеры
- UEBA отмечает сервисный аккаунт, неожиданно проходящий аутентификацию из новой страны в 02:00.
- NDR оповещает о трёхкратном росте исходящего трафика с сервера БД без изменений в развёртывании.
Связанные термины
Сигнатурное обнаружение
Метод обнаружения, при котором наблюдаемый трафик, файлы или поведение сопоставляются с базой известных вредоносных шаблонов (сигнатур) для выявления вредоносной активности.
Система обнаружения вторжений (IDS)
Пассивное средство безопасности, отслеживающее сетевую или хостовую активность на признаки вредоносного поведения и формирующее оповещения без блокирования трафика.
NDR (обнаружение и реагирование в сети)
Технология сетевой безопасности, анализирующая трафик (включая расшифрованный, метаданные и потоковые данные) с помощью поведенческой аналитики и ML, чтобы обнаруживать угрозы и оркестровать реагирование.
UEBA (поведенческая аналитика пользователей и сущностей)
Подход аналитики безопасности, который строит профиль нормального поведения пользователей и сущностей и фиксирует статистические отклонения, указывающие на компрометацию или внутренние злоупотребления.
Threat Hunting
Threat Hunting — definition coming soon.
Indicator of Attack (IoA)
Indicator of Attack (IoA) — definition coming soon.