DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

Active Directory的实ddos防御效果分析-时关联、检测和警报

11-27 DDOS防御

Active Directory的实时关联、检测和警报

想象一下黑客通过破坏你的活动目录会造成多大的损害。据估计,95%的财富5000强公司都在使用activedirectory,高防cdn怎么搭建,它构成了安全和权限管理的核心服务。它允许It管理员通过一个控制台配置权限,以确保他们的用户和计算机与公司的策略保持一致。通过用户执行的单一登录操作,ddos防御盾,Active Directory为用户提供了对许多可用网络资源的访问权限,包括电子邮件、计算机、共享文件和文件夹、应用程序等。Active Directory还使IT管理员能够锁定某些用户组、计算机组和应用程序的安全策略,例如限制实验室中共享计算机可以访问的文件、禁用对控制面板的访问以及阻止访问USB驱动器。ActiveDirectory的这些强大功能,加上它的广泛采用,使它成为黑客的主要目标。通常,网络攻击的目的是提升权限或破坏管理员帐户以获得未经授权的访问,这可能使您容易受到重大数据泄露的攻击。事实上,在最近针对大型零售商的攻击中采取的几个关键步骤都涉及到利用activedirectory。那么Proficio在帮助客户防止对activedirectory的攻击方面做了哪些不同的工作?折衷指标的关联规则首先,我们在SIEM中创建了关联规则,这些事件被Microsoft归类为活动目录潜在的危害指标。这些规则标记了应调查的具有高潜在危险性的可疑行为。具有高潜在危险性的事件示例如下*:Windows事件ID潜在临界性事件摘要4618高发生了监视的安全事件。4649高检测到重播攻击。4719高系统审核策略已更改。4765高SID历史已添加到帐户。4766高尝试向帐户添加SID历史记录失败。4794高试图设置目录服务还原模式。4897高角色分离已启用。4964高特殊组已分配给新登录。5124高OCSP响应程序服务上的安全设置已更新。*参考:要监视的Microsoft Active Directory事件以事件4719为例,它是系统审计策略的一个更改。在正常情况下,系统审核策略不会被用户更改。审核策略更改通常只由顶级Active Directory管理员执行。系统审核策略可以有一个规则,当一个帐户连续3次登录失败时,可以创建一个日志。如果黑客能够在不被发现的情况下更改系统审核策略,他们就有机会强行登录。因此,SIEM必须监控事件4719。可疑活动关联规则其次,我们为大量与组更改、帐户锁定、登录失败和其他操作有关的其他可疑事件创建了关联规则。让我们仔细看看这些:组更改对于组更改,微信ddos防御算法,Active Directory具有应监视的敏感默认组。Proficio ProSOC监控这些组的变化,以检测可疑活动。Proficio还可以监视自定义组,并从感兴趣的组中查找添加或删除的用户。有关Active Directory中可用的默认组的详细信息,请参阅以下文章。帐户锁定对于客户锁定,ddos攻击的最佳防御点,我们的解决方案可以为小型组织和大型组织定制。对于较小的组织,Proficio在每个单独的帐户锁定时提供实时警报。在小型环境中围绕此事件设置关联规则可以为组织提供有价值的见解。对于较大的组织,ddos防御流量,实时检查每个帐户锁定是不可行的。因此,关联性包括将帐户锁定筛选到特定组中的特权帐户或组织中具有特殊业务功能的帐户。这背后的原因是检测一个被锁定的帐户,该帐户执行的服务或任务可能会在帐户锁定发生时对组织产生严重影响。登录失败管理员很容易被失败的登录数量所淹没,特别是当系统有大量用户时。选择特定的失败登录进行报告或关联对于失败的activedirectory身份验证来说是很关键的。例如,交互式和远程交互式失败登录通常比失败的网络登录更显著。Proficio设计特定的用例,以满足客户在入职过程中的需求。一个例子是在特权用户帐户的远程交互式登录失败时发出警报。我们还跟踪可疑的OWA失败的身份验证活动。实时检测和报警在从客户网络收集日志事件并通过加密通道发送到我们的安全运营中心(SOC)后,经过认证的安全分析师将对其进行全天候连续监控。一旦检测到有关妥协指标或上一节中讨论的其他可疑活动的事件,则由训练有素的SOC分析员进行调查。如果分析员确定威胁是真实的或者已经发生了妥协,我们会立即通知客户。警报机制是可定制的,并在客户入职过程中达成一致。 图形仪表板和报告我们还为我们的客户提供其他工具,以可视化策略或未授权活动的潜在异常情况;这些异常通过我们的ProView SIEM门户网站通过图形仪表板、策略和配置更改报告以及日志搜索调查分析来实现。由于Proficio运行基于云的安全服务,Windows管理员能够快速查看仪表板,并可视化异常或未经授权的活动,否则可能无法发现。提供变更管理报告,以确定谁进行了具体变更。以下是可供客户使用的图表示例:

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com/ddos1/1835.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 1652422访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X