Поведенческое детектирование
Что такое Поведенческое детектирование?
Поведенческое детектированиеПодход к обнаружению, выявляющий вредоносную активность по поведению процессов, пользователей и сетевых потоков во время выполнения, а не по статическим сигнатурам файлов.
Поведенческое детектирование наблюдает, что делает код в системе: деревья процессов, отношения родитель-потомок, вызовы API, записи в файлы и реестр, сетевые направления, аргументы командной строки, создание планировщиков — и помечает последовательности, соответствующие известному tradecraft. Правила часто пишут на Sigma или вендорских языках и привязывают к техникам MITRE ATT&CK — T1059 (Command and Scripting Interpreter) или T1547 (Boot or Logon Autostart). NGAV/EDR от CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason, Elastic реализуют это в реальном времени. В отличие от сигнатур, поведенческий анализ ловит полиморфное, упакованное и fileless ВПО, но требует богатой телеметрии (Sysmon, потоки EDR, журналы аудита) и аккуратной настройки, чтобы держать ложные срабатывания под контролем.
● Примеры
- 01
EDR-правило срабатывает, когда Word запускает PowerShell, который скачивает данные с внешнего IP — типичный шаблон макро-вторжения.
- 02
Defender for Endpoint обнаруживает дамп учётных данных по чтениям памяти LSASS из не-системного процесса.
● Частые вопросы
Что такое Поведенческое детектирование?
Подход к обнаружению, выявляющий вредоносную активность по поведению процессов, пользователей и сетевых потоков во время выполнения, а не по статическим сигнатурам файлов. Относится к категории Защита и операции в кибербезопасности.
Что означает Поведенческое детектирование?
Подход к обнаружению, выявляющий вредоносную активность по поведению процессов, пользователей и сетевых потоков во время выполнения, а не по статическим сигнатурам файлов.
Как защититься от Поведенческое детектирование?
Защита от Поведенческое детектирование обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Поведенческое детектирование?
Распространённые альтернативные названия: Поведенческое обнаружение, Поведенческая аналитика.