Change Auditor Threat Detection
Fim de jogo para usuários invasores com o ChangeAuditor Threat Detection
Detecção proativa de ameaças do usuário para ambientes Microsoft
O ChangeAuditor Threat Detection oferece uma abordagem única para a detecção de ameaças de usuários ao modelar padrões de comportamento de usuários individuais para detectar atividades anormais que podem indicar usuários suspeitos ou contas comprometidas. Ao analisar a atividade do usuário com o uso da tecnologia de aprendizado avançada proprietária, da análise de comportamento de usuário e entidade (UEBA) e de algoritmos de pontuação sofisticados, o ChangeAuditor Threat Detection classifica os usuários de maior risco em sua organização, identifica possíveis ameaças de usuários e reduz o ruído de alertas falso positivos. Finalmente, você poderá superar as lacunas deixadas por ferramentas de auditoria nativas de forma a manter seu ambiente seguro.
Descubra ameaças com rapidez e facilidade como:
Exfiltração de dados
Identifique facilmente usuários comprometidos ou contas tentando roubar ou destruir dados.
Malware
Reconheça rapidamente tentativas de tomar o controle de contas de usuário e seus privilégios por meio de malware.
Uso indevido de conta privilegiada
Detecte quando algum programa ou script tomar o controle das credenciais de algum usuário.
Ataque de força bruta
Identifique invasores correlacionando eventos de segurança repetidos com alertas relacionados.
Privilégios elevados
Localize elevações impróprias de privilégio ao realçar eventos e ações de usuários relacionadas.
Atividades AD anormais
Identifique rapidamente atividades de usuários suspeitas no AD.
Movimento lateral
Detecte invasores comparando padrões de comportamentos anormais com linhas de base de usuário.
Acesso inapropriado a sistema ou recursos
Emita alertas sobre usuários tentando acessar dados desnecessários.
Com o ChangeAuditor Threat Detection, você pode:
- Detectar ameaças proativamente com base em padrões de comportamento do usuário
- Reduzir a montanha de alertas associados à detecção de ameaças baseadas em regras
- Detectar facilmente quando um usuário age de forma anormal com as linhas de base do comportamento do usuário
- Visualizar alertas de segurança em contexto para determinar a gravidade de forma rápida e fácil
- Identificar as ameaças com base nos dados de auditoria para reduzir o impacto em sua infraestrutura
Características
Análise do registro de auditoria em tempo real
Analise de forma eficiente um grande volume de dados de auditoria em tempo real, inclusive alterações de AD, autenticações e atividades de arquivos. Crie linhas de base de usuários a partir desses eventos de atividade bruta e detecte proativamente quando o comportamento do usuário parece anormal, de forma a estar imediatamente ciente da possível atividade suspeita.
Análise automatizada do comportamento do usuário (UEBA)
Modele padrões de atividade do usuário sem qualquer entrada ou configuração necessária do administrador. As linhas de base do comportamento do usuário são criadas automaticamente com o uso do aprendizado avançado da máquina sem supervisão, além da modelagem de todos os aspectos da atividade de um usuário, inclusive seus padrões de login, atividade administrativa e acesso a arquivos e pastas.
Detecção sofisticada de comportamentos anormais
Identifique a atividade anormal do usuário ao comparar automaticamente todas as ações do usuário com a sua linha de base comportamental. A detecção sofisticada de indicadores de ameaça e a classificação de risco de múltiplos níveis garantem que somente as anomalias mais graves sejam realçadas, o que representa os comportamentos mais arriscados do usuário.
Análises de usuários de alta fidelidade
O ChangeAuditor cria os registros de auditoria que alimentam a análise para que todos os dados do evento bruto utilizados para detectar proativamente as ameaças em seu ambiente incluam inerentemente informações valiosas, como:
- Quem fez a alteração
- O que foi alterado
- Quando ocorreu a alteração
- Onde ocorreu a alteração
- E o endereço IP ou workstation onde a mudança se originou
Ao contrário dos registros de eventos nativos do Windows, o ChangeAuditor garante que nenhuma ação importante do usuário seja perdida, o que poderia criar lacunas críticas na análise do comportamento do usuário.
Detecção de ameaças do usuário baseada em padrões
Os alertas de ameaça do usuário SMART são gerados somente quando um padrão correlacionado de comportamento anormal do usuário é detectado. Em vez de confiar em regras para detectar atividades específicas, analise automaticamente toda a atividade do usuário conforme ela acontece e identifique os usuários mais suspeitos no ambiente por meio de uma sofisticada detecção de padrões de comportamento do usuário. A modelagem global sofisticada garante que sejam realçados somente os padrões mais críticos e preocupantes do comportamento do usuário, o que reduz significativamente o ruído causado por atividades isoladas e falsos positivos.
Alertas de segurança em contexto
Use a infraestrutura do ChangeAuditor e os dados de auditoria para modelar o comportamento do usuário. Dessa forma, não haverá a necessidade de implantar agentes e servidores adicionais complicados e desnecessários. Um único appliance virtual é a única infraestrutura adicional necessária para permitir análises avançadas de ameaças dos usuários.
Passeio
Painel dinâmico
Detecção proativa de ameaças
Linhas de base do comportamento do usuário
Detecção de anomalia
Detecção baseada em padrão
Alertas em contexto
Prioridade de alerta automatizada
Investigação acelerada
Especificações
Existem requisitos de sistema específicos para o coordenador do ChangeAuditor (server-side), cliente do ChangeAuditor (client-side), agente do ChangeAuditor (server-side) e a workstation e o cliente da Web do ChangeAuditor (componentes opcionais). Para obter uma lista completa dos requisitos do sistema e das permissões necessárias para todos os componentes e sistemas de destino que podem ser auditados pelo ChangeAuditor, consulte o Guia de instalação do ChangeAuditor.
O coordenador do ChangeAuditor é responsável por cumprir as solicitações do cliente e do agente e gerar alertas.
- Processador
Intel® Core™ i7 de 4 núcleos, equivalente ou superior
- Memória
Mínimo: 8 GB RAM ou superior
Recomendado: 32 GB de RAM ou superior
- SQL Server
Bancos de dados SQL com suporte até as seguintes versões:
- Microsoft SQL Server 2008 R2 SP3
- Microsoft SQL Server 2012 SP4
- Microsoft SQL Server 2014 SP2
- Microsoft SQL Server 2016 SP2
- Microsoft SQL Server 2017
NOTA: o ChangeAuditor oferece suporte a grupos de disponibilidade SQL AlwaysOn e clusters SQL.
- Sistema operacional
Plataformas de instalação (x64) com suporte até as seguintes versões:
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
NOTA: o Microsoft Windows Data Access Components (MDAC) deve estar ativado. (O MDAC faz parte do sistema operacional e está ativado por padrão.)
- Software e configuração do coordenador
Para obter o melhor desempenho, recomendamos fortemente:
- A instalação do coordenador do ChangeAuditor em um servidor membro dedicado.
- O banco de dados do ChangeAuditor deve ser configurado em uma instância separada e dedicada do SQL Server.
NOTA: NÃO aloque previamente um tamanho fixo para o banco de dados do ChangeAuditor.
Além disso, o seguinte software/configuração é necessário:
- O coordenador deve ter conectividade por Protocolo LDAP e GC a todos os controladores de domínio no domínio local e no domínio-raiz da forest.
- Versão x64 do Microsoft .NET 4.6.1
- Versão x64 do Microsoft XML Parser (MSXML) 6.0
- Versão x64 do Microsoft SQLXML 4.0
- Espaço ocupado do coordenador
- Estimativa de uso do espaço em disco rígido: 1 GB
- O uso de RAM do coordenador depende muito do ambiente, do número de conexões de agente e do volume de eventos.
- A estimativa de tamanho do banco de dados dependerá do número de agentes implementados e dos eventos auditados capturados.
O servidor ChangeAuditor Threat Detection é uma appliance virtual responsável por analisar os registros de auditoria do ChangeAuditor e excluir padrões suspeitos de comportamento do usuário. Para obter mais informações sobre a implementação da appliance virtual, consulte o Guia de implementação Threat Detection do ChangeAuditor.
Implementação no Microsoft Hyper-V
- Host do Hyper-V que está em execução no Windows Server 2016
- Requisitos do servidor para o Threat Detection:
- Tamanho do modelo: ~10 GB
- CPU: 8 ou 16 núcleos, mínimo de 2,3 GHz, 2,4 GHz recomendados.
- RAM: 64 GB
- E/S: 500 MB/s
- Disco: SAS de 320 GB, SAS de 930 GB
Implementação no VMware ESX
- VMware ESXi Versão 5.5 e superior que é gerenciado pelo VMware Vcenter 5.5 e superior
- Os clientes vSphere a seguir recebem suporte:
- Com ESX 5.5 - cliente vSphere Windows.
- Com ESX 6.0 - cliente vSphere Flash.
- Com ESX 6.5 - cliente vSphere Flex, cliente vSphere HTML5.
- Edição OVA para pequenas e médias empresas:
- Tamanho do arquivo OVA: ~10 GB
- CPU: 8 núcleos, mínimo de 2,3 GHz, 2,4 GHz recomendados
- RAM: 64 GB
- E/S: 500 MB/s
- Disco: SAS de 320 GB, SAS de 930 GB
- Edição OVA para grandes empresas:
- Tamanho do arquivo OVA: ~10 GB
- CPU: 16 núcleos, mínimo de 2,3 GHz, 2,4 GHz recomendados
- RAM: 64 GB
- E/S: 500 MB/s
- Disco: SAS de 320 GB, SAS de 930 GB
Recursos
Change Auditor Threat Detection
Detecção proativa de ameaças baseada em comportamento do usuário para ambientes Microsoft
Tackling insider threat detection with user behavior analytics
Review challenges detecting an insider threat, benefits and limitations of rule-based tools and explore user behavior analytics threat detection solutions
How to Spot Insider Threats Before They Wreak Havoc
Change Auditor Threat Detection distills AD audit data down to a manageable number of SMART alerts and highlights the riskiest users through pattern-based
Inside Change Auditor Threat Detection
Identify insider threats with advanced machine learning, user and entity behavioral analytics (UEBA), and SMART correlation technology to stop data breach
Introducing Change Auditor Threat Detection
Be proactive about detecting potential insider threats and anomalous activity by modeling user behavior through unsupervised machine learning.
Three ways a privileged user can hose your Active Directory
This eBook reviews insider threats and eight AD security best practices to reduce risk and recovery time.
NOVE MELHORES PRÁTICAS PARA A SEGURANÇA DO ACTIVE DIRECTORY
Este eBook explora a anatomia de uma ameaça interna do AD e detalha as melhores estratégias de defesa contra ela.
SIEM Integration Best Practices: Making the Most of Your Security Event Logs
Too many organizations limit the log data they collect because they can't afford to process everything their SIEM; it simply costs too much and generates far too many alerts. However, this decision
- Mais recursos
- Comunidades
- Vídeos
Dê o próximo passo
Produtos relacionados
Change Auditor for Active Directory
Controle e corrobore rapidamente quaisquer alterações ou modificações diárias do sistema
Change Auditor for Logon Activity
Obtenha respostas para perguntas críticas de segurança e de conformidade
Change Auditor for Windows File Servers
Controle, faça auditoria e receba relatórios sobre todas as alterações no sistema Windows File Server em tempo real
Change Auditor for NetApp
Faça auditoria de todos os eventos relacionados às permissões e atividades de arquivos nos seus dispositivos NAS NetApp.
Change Auditor for EMC
Faça auditoria de todos os eventos relacionados às permissões e atividades de arquivos nos seus dispositivos NAS EMC.
Change Auditor for Fluid FS
Faça a auditoria de todos os eventos relacionados às permissões e à atividade de arquivos nos seus dispositivos NAS FluidFS.