Детекция на аномалията на мрежовото поведение (NBAD)

Съдържание

• Определение - Какво означава откриване на аномалия на мрежовото поведение (NBAD)?
• Въведение в Microsoft Azure и Microsoft Cloud | В това ръководство ще научите какво представлява компютърните изчисления и как Microsoft Azure може да ви помогне да мигрирате и стартирате бизнеса си от облака.
• Techopedia обяснява откриването на аномалия на мрежовото поведение (NBAD)

Определение - Какво означава откриване на аномалия на мрежовото поведение (NBAD)?

Детекция на аномалията на поведението в мрежата (NBAD) е мониторинг в реално време на мрежа за всяка необичайна дейност, тенденции или събития. Инструментите за откриване на аномалията на мрежовото поведение се използват като допълнителни инструменти за откриване на заплахи за наблюдение на мрежовите дейности и генериране на общи сигнали, които често изискват допълнителна оценка от ИТ екипа.

Системите имат възможност да откриват заплахи и да спират подозрителни дейности в ситуации, когато традиционният софтуер за сигурност е неефективен. Освен това инструментите предполагат кои подозрителни дейности или събития изискват допълнителен анализ.

Въведение в Microsoft Azure и Microsoft Cloud | В това ръководство ще научите какво представлява компютърните изчисления и как Microsoft Azure може да ви помогне да мигрирате и стартирате бизнеса си от облака.

Techopedia обяснява откриването на аномалия на мрежовото поведение (NBAD)

Инструментите за откриване на аномалията на мрежовото поведение се използват заедно с традиционните системи за сигурност по периметъра, като антивирусен софтуер, за да осигурят допълнителен механизъм за защита. Въпреки това, за разлика от антивируса, който защитава мрежата от известни заплахи, НБАД проверява подозрителни дейности, които могат да компрометират операциите на мрежата чрез заразяване на системата или чрез кражба на данни.

Той следи мрежовия трафик за всякакви отклонения от очаквания обем на измерен мрежов параметър като пакети, байтове, поток и използване на протокол. След като се подозира, че дадена дейност представлява заплаха, се генерират подробности за събитието, включително нарушителя и целевите IP адреси, порта, протокола, времето на атака и други.

Инструментите използват комбинация от методи за откриване на подписи и аномалии, за да проверят за всяка необичайна мрежова активност и да сигнализират мениджърите за сигурност и мрежата, за да могат да анализират дейността и да я спрат или да реагират, преди заплахата да засегне системата и данните.

Трите основни компонента на мониторинга на поведението на мрежата са моделите на трафик на трафика, данните за работата на мрежата и анализът на пасивния трафик. Това позволява на организацията да открива заплахи като:

• Неподходящо поведение на мрежата - Инструментите откриват неоторизирани приложения, аномална мрежова активност или приложения, използващи необичайни портове. След като бъде открита, защитната система може да се използва за идентифициране и автоматично деактивиране на потребителския акаунт, свързан с мрежовата активност.
• Извличане на данни - следи изходящите комуникационни данни и задейства аларма, когато се открият подозрително големи количества трансфер на данни. Системата може допълнително да идентифицира приложението на местоназначение, ако се базира на облак, за да определи дали е легитимно или случай на кражба на данни.
• Скрит зловреден софтуер - Открива напреднал зловреден софтуер, който може да е избегнал защитата по периметъра и е проникнал в организационната / корпоративната мрежа.