บทนำ
โมดูล Anomalies บน Athena NDR วิเคราะห์พฤติกรรมที่ผิดปกติแบ่งตามทิศทางการเข้าถึง ประกอบด้วยมุมมอง Unauthorized Access, Lateral Access และ Outbound Server Access พร้อมด้วย UEBA Engine (User and Entity Behavior Analytics) สำหรับตรวจจับพฤติกรรมที่เบี่ยงเบนจากปกติ
มุมมองย่อยของ Anomalies
- Unauthorized Access: การเข้าถึงที่ตรงกับ Blacklist/Whitelist ของ STA หรือผิด Application Control Policy ของ NGAF
- Lateral Access: การโจมตีจาก Endpoint ภายในไปยัง Endpoint ภายในด้วยกัน
- Outbound Server Access: การเชื่อมต่อออกไปยัง Internet จาก Server ภายใน
UEBA
- ไปที่ Detection > Anomalies > UEBA
- หน้านี้แสดงจำนวนวันที่ระบบเรียนรู้พฤติกรรม, Risk Scenarios, Abnormal Hosts และ Abnormal Behaviors
- ค้นหา Abnormal Behaviors ด้วย Time Range หรือ IP Address
- ประเภท Anomaly ที่ตรวจจับได้:
- Anomalous Login
- Anomalous Database
- Anomalous Outbound Access
- Anomalous Outbound Data
- Anomalous Access
- Anomalous Traffic
- คลิกประเภท Anomaly ที่ต้องการเพื่อดูรายละเอียด Anomalies, Models และ UEBA
ข้อกำหนดเบื้องต้น
- โมดูล UEBA ต้องมี Memory อย่างน้อย 96 GB บน Athena NDR จึงจะสามารถเปิดใช้งานได้
- ต้องมี License ที่รองรับ UEBA/Telemetry
หมายเหตุ
- UEBA ต้องใช้เวลาเรียนรู้พฤติกรรมระยะหนึ่งก่อนจึงจะสามารถตรวจจับ Anomaly ได้แม่นยำ
- แนะนำให้ใช้ร่วมกับ Unauthorized Access เพื่อหา Insider Threat
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น