Оцените эту статью

Продолжение статьи

Если учетная запись пользователя обращается к сети из необычной географической точки или неожиданной рабочей станции, это один из признаков, что внешнему взломщику удалось скомпрометировать учетную запись. Однако в большинстве случаев это вовсе не атака, поэтому выдача тревожных сообщений при каждом ненормативном событии доступа погребет вас под лавиной ложных предупреждений.

Change Auditor Threat Detection связывает необычное место доступа с последующей подозрительной активностью, например снупингом или внесением необычных изменений BAD. Таким образом, аномальное место доступа предоставляет дополнительный контекст, который повышает уровень предупреждения, и становится очевидной необходимость быстро расследовать событие (экран 6).

Индикаторы такой активности:

  • пользователь пытается выполнить проверку подлинности с рабочей станции, которую он редко или никогда не использовал раньше;
  • пользователь пытается выполнить вход из географической точки, необычной для него или его компании.