Поведенческое детектирование
Что такое Поведенческое детектирование?
Поведенческое детектированиеПодход к обнаружению, выявляющий вредоносную активность по поведению процессов, пользователей и сетевых потоков во время выполнения, а не по статическим сигнатурам файлов.
Поведенческое детектирование наблюдает, что делает код в системе: деревья процессов, отношения родитель-потомок, вызовы API, записи в файлы и реестр, сетевые направления, аргументы командной строки, создание планировщиков — и помечает последовательности, соответствующие известному tradecraft. Правила часто пишут на Sigma или вендорских языках и привязывают к техникам MITRE ATT&CK — T1059 (Command and Scripting Interpreter) или T1547 (Boot or Logon Autostart). NGAV/EDR от CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason, Elastic реализуют это в реальном времени. В отличие от сигнатур, поведенческий анализ ловит полиморфное, упакованное и fileless ВПО, но требует богатой телеметрии (Sysmon, потоки EDR, журналы аудита) и аккуратной настройки, чтобы держать ложные срабатывания под контролем.
● Примеры
- 01
EDR-правило срабатывает, когда Word запускает PowerShell, который скачивает данные с внешнего IP — типичный шаблон макро-вторжения.
- 02
Defender for Endpoint обнаруживает дамп учётных данных по чтениям памяти LSASS из не-системного процесса.
● Частые вопросы
Что такое Поведенческое детектирование?
Подход к обнаружению, выявляющий вредоносную активность по поведению процессов, пользователей и сетевых потоков во время выполнения, а не по статическим сигнатурам файлов. Относится к категории Защита и операции в кибербезопасности.
Что означает Поведенческое детектирование?
Подход к обнаружению, выявляющий вредоносную активность по поведению процессов, пользователей и сетевых потоков во время выполнения, а не по статическим сигнатурам файлов.
Как работает Поведенческое детектирование?
Поведенческое детектирование наблюдает, что делает код в системе: деревья процессов, отношения родитель-потомок, вызовы API, записи в файлы и реестр, сетевые направления, аргументы командной строки, создание планировщиков — и помечает последовательности, соответствующие известному tradecraft. Правила часто пишут на Sigma или вендорских языках и привязывают к техникам MITRE ATT&CK — T1059 (Command and Scripting Interpreter) или T1547 (Boot or Logon Autostart). NGAV/EDR от CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason, Elastic реализуют это в реальном времени. В отличие от сигнатур, поведенческий анализ ловит полиморфное, упакованное и fileless ВПО, но требует богатой телеметрии (Sysmon, потоки EDR, журналы аудита) и аккуратной настройки, чтобы держать ложные срабатывания под контролем.
Как защититься от Поведенческое детектирование?
Защита от Поведенческое детектирование обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Поведенческое детектирование?
Распространённые альтернативные названия: Поведенческое обнаружение, Поведенческая аналитика.
● Связанные термины
- defense-ops№ 473
Эвристическое детектирование
Метод обнаружения, использующий эмпирические признаки — подозрительные паттерны кода, упаковщики, аномальные строки, комбинации API — чтобы выявлять вероятно вредоносные файлы без точной сигнатуры.
- network-security№ 048
Обнаружение по аномалиям
Подход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные.
- defense-ops№ 725
Антивирус нового поколения (NGAV)
Защита конечных точек, которая дополняет сигнатурное сканирование моделями машинного обучения, поведенческой аналитикой и предотвращением эксплойтов для остановки неизвестных и fileless-угроз.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- malware№ 417
Бесфайловое вредоносное ПО
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.