Change Auditor Threat Detection

針對 Microsoft 環境的前瞻性用戶威脅檢測

Change Auditor Threat Detection提供獨特的用戶威脅檢測方法,它通過對各個使用者行為模式進行建模來檢測可能表示可疑用戶或受攻擊帳戶的異常活動。 Change Auditor Threat Detection借助專用高級學習技術、使用者和實體行為分析(UEBA)和成熟的評分演算法來分析使用者活動,從而確定貴企業中風險非常高的用戶,發現潛在的用戶威脅並減少誤報造成的干擾。 您最終可以彌補本地審核工具留下的缺口,確保環境安全。

  • 基於使用者行為模式前瞻性地檢測威脅
  • 減少基於規則的威脅檢測產生的海量警報
  • 根據使用者行為基準輕鬆檢測到出現異常行為的用戶
  • 結合上下文查看安全警報,以快速輕鬆地確定其嚴重性
  • 根據您的現有審核資料發現威脅,以降低對您的基礎架構的影響
Change Auditor Threat Detection

功能

即時審核日誌分析

即時高效地分析大量審核資料,包括AD變更、身份驗證和檔活動。 在這些原始活動事件的基礎上構建用戶基準並前瞻性地檢測用戶何時存在異常行為,以便您可以立即發現潛在可疑的活動。

自動化用戶行為分析(UEBA)

無需任何管理員輸入或配置即可為使用者活動模式建模。 用戶行為基準是通過無人監管的高級機器學習技術自動創建的,能夠為各個方面的用戶活動(包括其登錄模式、管理活動以及檔和資料夾訪問)建模。

成熟的行為異常檢測

通過自動將每個用戶操作與相關用戶的行為基準進行比較來發現異常用戶活動。 成熟的威脅指標檢測和多級別風險評分確保只會突出顯示非常嚴重的異常情況,這表示風險性非常高的用戶行為。

高保真用戶分析

Change Auditor創建審核日誌以作分析之用,因此用於前瞻性檢測您環境中威脅的所有原始事件資料從一開始就包括以下寶貴資訊:
• 更改執行者
• 更改內容
• 更改時間
• 更改位置
• 發起更改的位置的IP地址或工作站
與本機Windows事件日誌不同,Change Auditor可確保不會錯過任何重要的用戶操作,避免在用戶行為分析中產生嚴重的缺口。

基於模式的使用者威脅檢測

僅在檢測到異常使用者行為的關聯模式時才發出SMART使用者威脅警報。 不依靠規則來檢測特定活動,而是通過成熟的使用者行為模式檢測自動分析發生的所有用戶活動並發現環境中非常可疑的用戶。 成熟的全域建模技術可確保僅突出顯示非常關鍵和相關的使用者行為模式,顯著減少孤立活動和誤報帶來的干擾。

結合上下文的安全警報

利用您的現有Change Auditor基礎架構和審核資料為使用者行為建模,這樣就不用額外部署不必要且複雜的代理程式和伺服器。 單個虛擬裝置是啟用高級用戶威脅分析所需的唯一附加基礎架構。

Read more…