Change Auditor Threat Detection提供独特的用户威胁检测方法,它通过对各个用户行为模式进行建模来检测可能表示可疑用户或受攻击帐户的异常活动。 Change Auditor Threat Detection借助专用高级学习技术、用户和实体行为分析(UEBA)和成熟的评分算法来分析用户活动,从而确定贵企业中风险非常高的用户,发现潜在的用户威胁并减少误报造成的干扰。 消除原生审核工具存在的缺陷并保护环境的安全。
快速轻松地发现各种威胁,包括:
数据渗漏
轻松发现试图窃取或销毁数据的受攻击用户或帐户。
恶意软件
快速识别试图控制用户帐户和权限的恶意软件。
特权帐户滥用
发现程序或脚本控制用户凭据的情况。
暴力破解攻击
通过将重复的安全事件与相关警报相关联来发现攻击者。
提升的权限
通过突出显示事件及相关的用户操作来发现不当的权限提升。
异常AD活动
快速发现AD中的可疑用户活动。
横向移动
通过将异常行为的模式与用户基准进行比较来发现攻击者。
不当访问系统或资源
针对用户尝试访问非必需数据的情况发出警报。
威胁检测功能
审核日志分析
实时审核日志分析
实时高效地分析大量审核数据,包括AD变更、身份验证和文件活动。 在这些原始活动事件的基础上构建用户基准并前瞻性地检测用户何时存在异常行为,以便您可以立即发现潜在可疑的活动。
UEBA
自动化用户行为分析
无需任何管理员输入或配置即可为用户活动模式建模。 用户行为基准是通过无人监管的高级机器学习技术自动创建的,能够为各个方面的用户活动(包括其登录模式、管理活动以及文件和文件夹访问)建模。
异常检测
成熟的异常行为检测
通过自动将每个用户操作与相关用户的行为基准进行比较来发现异常用户活动。 成熟的威胁指标检测和多级别风险评分确保只会突出显示非常严重的异常情况,这表示风险性非常高的用户行为。
用户威胁检测
基于模式的用户威胁检测
无需依靠规则来检测特定活动,可以在发生用户活动时自动对其进行分析。 通过高级用户行为模式检测发现非常可疑的用户。 成熟的全局建模技术可确保仅突出显示非常关键和相关的用户行为模式,显著减少孤立活动和误报带来的干扰。
安全警报
查看结合上下文的安全警报
查看作为警报一部分发现的威胁指标上下文中的所有可疑用户活动警报。 每种行为异常都会在用户的基准活动上下文中显示,且随附触发该警报的所有原始事件,既可以清晰表明发出警报的原因,又可以简化调查和后续跟进过程。
高保真用户分析
Change Auditor创建审核日志以作分析之用,因此用于前瞻性检测您环境中威胁的所有原始事件数据从一开始就包括诸如变更的执行人员、内容、时间及工作站等宝贵信息。 Change Auditor可确保不会错过任何重要的用户操作,避免在用户行为分析中产生严重的缺口。
轻量级用户威胁检测
利用您的现有Change Auditor基础架构和审核数据为用户行为建模,这样就不用额外部署不必要且复杂的代理和服务器。 单个虚拟设备是启用高级用户威胁分析所需的唯一附加基础架构。
荣获2018年Stevie Awards美国人民选择奖
在2018年Stevie Award美国人民选择奖的角逐中,Change Auditor得票最多,荣获最佳软件奖,此外,还获得2018年最佳新产品银奖。
-
动态控制板
动态控制板显示最可疑的用户行为。
-
前瞻性威胁检测
实时发现用户活动的风险级别以检测威胁。
-
用户行为基准
对用户行为建模以创建典型用户活动的基准。
-
异常检测
通过将每项操作与基准进行比较,查找异常活动。
-
基于模式的检测
仅在检测到可疑行为时才显示用户威胁警报。
-
结合上下文的警报
可疑活动警报将所有指标作为警报的一部分进行显示。
-
自动确定警报优先级
根据您的环境中风险最高的用户来确定警报的优先级。
-
加快调查速度
查看包含分析结果的完整警报背景,加快调查速度。
-
存在风险的用户的详细信息
存在风险的用户的详细信息可帮助缩小上下文范围,并加快安全调查。
动态控制板
前瞻性威胁检测
用户行为基准
异常检测
基于模式的检测
结合上下文的警报
自动确定警报优先级
加快调查速度
存在风险的用户的详细信息
规格
Change Auditor协调器(服务器端)、Change Auditor客户端、Change Auditor代理程序(服务器端)以及Change Auditor工作站和Web客户端(可选组件)具有特定的系统要求。 有关Change Auditor可以审核的所有组件和目标系统的完整系统要求与所需权限列表,请参见Change Auditor安装指南。
Change Auditor协调器负责执行客户端和代理程序的请求并生成警报。
- 处理器
等效于四核英特尔®酷睿™ i7或更高配置的处理器
- 内存
最低:8 GB内存或更高配置
建议:32 GB RAM或更高配置
- SQL Server
最高支持以下版本的SQL数据库:
- Microsoft SQL Server 2012 SP4
- Microsoft SQL Server 2014 SP3
- Microsoft SQL Server 2016 SP2
- Microsoft SQL Server 2017
- Microsoft SQL Server 2019
注意:Change Auditor支持SQL AlwaysOn可用性组、SQL群集以及应用了行和页面压缩的数据库。
- 操作系统
最高支持以下版本的安装平台(x64):
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
注:必须启用Microsoft Windows Data Access Components (MDAC)。 (MDAC是操作系统的一部分,默认情况下已启用。)
- 协调器软件和配置
为实现卓越的性能,Quest强烈建议:
- 在专用成员服务器上安装Change Auditor协调器。
- 应在单独的专用SQL Server实例上配置Change Auditor数据库。
注:请勿为Change Auditor数据库预分配固定大小。
此外,需要满足以下软件/配置要求:
- 协调器必须拥有与本地域和林根域中所有域控制器的LDAP和GC连接。
- Microsoft .NET 4.7.1(x64版)
- Microsoft XML Parser (MSXML) 6.0(x64版)
- Microsoft SQLXML 4.0(x64版)
- 协调器占用空间
- 预计使用1 GB的硬盘空间。
- 协调器占用的内存大小主要取决于环境、代理程序连接数和事件量。
- 估计的数据库大小因所部署的代理程序数量和所捕获的审核事件数量而异。
有关其他所需的帐户协调器最低权限,请参见Change Auditor安装指南。
Change Auditor Threat Detection服务器是负责分析Change Auditor的审核日志并检测可疑用户行为模式的虚拟设备。 有关部署该虚拟设备的详细信息,请参阅Change Auditor Threat Detection部署指南。
- 在Microsoft Hyper-V上部署
- 在Windows Server 2016上运行的Hyper-V主机
- Threat Detection服务器要求:
- 模板大小:大约10 GB
- CPU:8或16核,最低2.3 GHz,建议2.4 GHz。
- RAM:64 GB
- I/O:500 MB/秒
- 磁盘:SAS 320 GB,SAS 930 GB。
- 在VMWare ESX上部署
- 由VMware Vcenter 5.5及更高版本托管的VMWare ESXI 5.5及更高版本
- 支持以下vSphere客户端:
- 使用ESX 5.5 - vSphere Windows客户端。
- 使用ESX 6.0 - vSphere Flash客户端。
- 使用ESX 6.5 - vSphere Flex客户端,vSphere HTML5客户端。
- 中小型企业版OVA:
- OVA文件大小:大约10 GB
- CPU:8核,最低2.3 GHz,建议2.4 GHz
- RAM:64 GB
- I/O:500 MB/秒
- 磁盘:SAS 320 GB,SAS 930 GB
- 大型企业版OVA:
- OVA文件大小:大约10 GB
- CPU:16核,最低2.3 GHz,建议2.4 GHz
- RAM:64 GB
- I/O:500 MB/秒
- 磁盘:SAS 320 GB,SAS 930 GB