Виявлення аномалії мережевої поведінки (NBAD)

Відеоролик: Клэй Ширки: Почему SOPA — плохая идея

Зміст

Визначення - Що означає виявлення аномалії мережевої поведінки (NBAD)?
Вступ до Microsoft Azure та Microsoft Cloud | У цьому посібнику ви дізнаєтеся, що стосується хмарних обчислень та як Microsoft Azure може допомогти вам мігрувати та вести свій бізнес із хмари.
Техопедія пояснює виявлення аномалії мережевої поведінки (NBAD)

Визначення - Що означає виявлення аномалії мережевої поведінки (NBAD)?

Виявлення аномалії поведінки в мережі (NBAD) - це моніторинг мережі в реальному часі для будь-яких незвичайних дій, тенденцій чи подій. Інструменти виявлення аномалії мережевої поведінки використовуються як додаткові засоби виявлення загроз для моніторингу мережевої діяльності та генерації загальних сповіщень, які часто потребують подальшої оцінки з боку ІТ-команди.

Системи мають можливість виявляти загрози та зупиняти підозрілі дії в ситуаціях, коли традиційне програмне забезпечення безпеки малоефективне. Крім того, інструменти підказують, які підозрілі дії чи події потребують подальшого аналізу.

Вступ до Microsoft Azure та Microsoft Cloud | У цьому посібнику ви дізнаєтеся, що стосується хмарних обчислень та як Microsoft Azure може допомогти вам мігрувати та вести свій бізнес із хмари.

Техопедія пояснює виявлення аномалії мережевої поведінки (NBAD)

Інструменти виявлення аномалії мережевої поведінки використовуються разом із традиційними системами безпеки периметра, такими як антивірусне програмне забезпечення, для забезпечення додаткового механізму захисту. Однак, на відміну від антивірусу, який захищає мережу від відомих загроз, NBAD перевіряє підозрілі дії, які, ймовірно, можуть поставити під загрозу операції в мережі, шляхом зараження системи або через крадіжку даних.

Він контролює мережевий трафік на предмет будь-яких відхилень від очікуваного обсягу вимірюваного мережевого параметра, такого як пакети, байти, потік та використання протоколу. Як тільки підозра підозрюється як загроза, генеруються дані про подію, включаючи IP-адресу злочинця та цільові IP, порт, протокол, час атаки тощо.

Інструменти використовують комбінацію методів виявлення підписів та аномалій, щоб перевірити будь-яку незвичайну мережеву діяльність та попередити менеджерів із безпеки та мережевих менеджерів, щоб вони могли проаналізувати діяльність та зупинити її чи реагувати, перш ніж загроза вплине на систему та дані.

Три основні компоненти моніторингу поведінки мережі - це структури потоку трафіку, дані про продуктивність мережі та аналіз пасивного трафіку. Це дозволяє організації виявляти загрози, такі як:

Невідповідна поведінка мережі - інструменти виявляють несанкціоновані програми, аномальну мережеву діяльність або програми за допомогою незвичних портів. Після виявлення система захисту може використовуватися для ідентифікації та автоматичного відключення облікового запису користувача, пов’язаного з мережевою активністю.
Ексфільтрація даних - відстежує вихідні дані зв'язку та спрацьовує сигнал тривоги, коли виявляються підозріло великі обсяги передачі даних. Система може додатково ідентифікувати додатки призначення, якщо базується на хмарі, щоб визначити, чи це законне чи випадок крадіжки даних.
Приховане зловмисне програмне забезпечення - виявляє вдосконалене зловмисне програмне забезпечення, яке, можливо, ухиляється від захисту безпеки по периметру та проникає в організаційну / корпоративну мережу.