内容简介:1)通过HQL/PowerBI发现WannaCry的线索,搜索相关网络安全、终端安全、网络流量和漏洞事件,从而创建线索框架,鉴别WannaCry攻击,并反映到仪表盘持续监控。2)通过仪表盘和报表验证WannaCry状态,识别出异常互联网流量、未清除感染、未打补丁系统等情况,实时创建关联规则,以便在监控列表中的异常指标达到阈值时发出告警。3)事件认知引擎以时间轴形式在同一窗口聚合并展示所有的相关活动告警,事前和事后信息、调查信息以及相关场景,并作出动态风险评估。
1)通过HQL/PowerBI发现WannaCry的线索,搜索相关网络安全、终端安全、网络流量和漏洞事件,从而创建线索框架,鉴别WannaCry攻击,并反映到仪表盘持续监控。
2)通过仪表盘和报表验证WannaCry状态,识别出异常互联网流量、未清除感染、未打补丁系统等情况,实时创建关联规则,以便在监控列表中的异常指标达到阈值时发出告警。
3)事件认知引擎以时间轴形式在同一窗口聚合并展示所有的相关活动告警,事前和事后信息、调查信息以及相关场景,并作出动态风险评估。
小结: 从线索发现并监控,到状态验证和创建规则,最后调查问题进行处置。
案例2:内部威胁防护
基于机器学习的高级分析方法能够分析海量的用户、系统、应用、安全事件甚至物理访问活动的数据,从而够识别出与数据渗漏、欺诈或IT破坏活动相关的行为。除了实时检测以外,瀚思还提供持续监控、打分、报表等高级调查功能,从而实现全面、端到端的内部威胁管理流程。
以某券商一周的安全数据为例:原始事件3.2亿,原始告警422万,值得关注的威胁3700,成功的攻击41。其中一个成功的攻击是内部威胁。某内部员工异常登录,拷贝机密文件,上传文件到网盘。
小结: 多阶段机器学习。先对原始数据使用无监督学习,对数据聚类。然后再与业务人员沟通,进行有监督机器学习,形成算法模型。最后,依据模型发现异常行为。
HanSight USAP应用场景
报告全文下载:
https://www.hansight.com/report/unified-security-analytics-platform-to-combat-advanced-threats
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
