Продолжение статьи
Если учетная запись пользователя обращается к сети из необычной географической точки или неожиданной рабочей станции, это один из признаков, что внешнему взломщику удалось скомпрометировать учетную запись. Однако в большинстве случаев это вовсе не атака, поэтому выдача тревожных сообщений при каждом ненормативном событии доступа погребет вас под лавиной ложных предупреждений.
Change Auditor Threat Detection связывает необычное место доступа с последующей подозрительной активностью, например снупингом или внесением необычных изменений BAD. Таким образом, аномальное место доступа предоставляет дополнительный контекст, который повышает уровень предупреждения, и становится очевидной необходимость быстро расследовать событие (экран 6).
Индикаторы такой активности:
- пользователь пытается выполнить проверку подлинности с рабочей станции, которую он редко или никогда не использовал раньше;
- пользователь пытается выполнить вход из географической точки, необычной для него или его компании.