1-amaliyot mashg’uloti Mavzu: Tahdidlarni aniqlash tizimlarini o'rganish va tahlil qilish. Ishning maqsadi


Tarmoq trafigini tahlil qilish (NTA) tizimlari


Download 20.87 Kb.
bet3/4
Sana02.10.2023
Hajmi20.87 Kb.
#1690567
1   2   3   4
Bog'liq
Amaliyot 1

Tarmoq trafigini tahlil qilish (NTA) tizimlari.
Tarmoq trafigini tahlil qilish (NTA) tizimlari tarmoq hujumlarini aniqlash, tarmoq trafigini ushlash va tahlil qilish uchun mo'ljallangan. Ushbu sinf tizimi hujumning dastlabki bosqichida tajovuzkorlar mavjudligini aniqlashga, tahdidlarni tezda lokalizatsiya qilishga, shuningdek, axborot xavfsizligi qoidalariga rioya qilishni ta'minlashga yordam beradi.
Standart tarmoq analizatorlaridan (IDS/IPS) farqli o'laroq, NTA tizimlari nafaqat perimetrda, balki IT infratuzilmasida ham trafikni tahlil qiladi. Bundan tashqari, zamonaviy imzolarning paydo bo'lishi bilan NTA klassi yechimlari arxivlangan tarmoq trafigini tahlil qila olishi kerak (retrospektiv tahlil).
NTA sinfi yechimlari murakkab maqsadli hujumlar aniqlangan hollarda SIEM sinfi yechimlari uchun tarmoq hodisalarining qo'shimcha manbai bo'lishi mumkin.
Amalda, bunday echimlar, masalan, ruxsatsiz xostdan domen nazoratchisiga ulanishga shubhali urinishni aniqlash, so'ngra xostning tarmoq faoliyati haqidagi tarixiy ma'lumotlarni tahlil qilish va shunga o'xshash boshqa urinishlar bo'lganligini tekshirish imkonini beradi. Agar ular sodir bo'lgan bo'lsa, bu maqsadli hujum yoki hech bo'lmaganda xakerlik urinishi bo'ladi.
Oxirgi nuqta hujumini aniqlash (EDR).
Endpoint Detection and Response (EDR) hisoblash qurilmalariga so‘nggi hujumlarni aniqlash imkonini beradi va xavfsizlik mutaxassislari javob berishi uchun zarur ko‘rsatkichlarni taqdim etadi.
Ushbu turdagi yechim odatda oxirgi qurilmaga o'rnatilgan maxsus agentdan foydalanadi. Uning funktsiyalariga foydalanuvchi va dasturiy ta'minot faoliyati to'g'risida ma'lumot to'plash, murosa belgilarini aniqlash (kompromis ko'rsatkichlari, XOQ), buzilgan qurilmalarni aniqlash va joylashtirishga yordam berish va boshqalar kiradi.
Amalga oshirishga qarab, EDR yechimi turli aniqlash texnologiyalarini o'z ichiga olishi mumkin. Misol uchun, razvedka agentiga qo'shimcha ravishda, u xatti-harakatlarni tahlil qilish, murosa ko'rsatkichlarini tahlil qilish va uzatish vositasi bo'lishi mumkin bo'lgan tahdidlar ma'lumotlarini boyitish uchun SIEM tizimlari va Threat Intelligence tizimlari bilan avtomatik ravishda o'zaro ta'sir qiladi.
EDR tizimlari tashkilotlarga an'anaviy so'nggi nuqta xavfsizlik choralarini chetlab o'tishga mo'ljallangan ilg'or tahdidlarni aniqlash imkonini beradi.
Agar tajovuzkor maqsadli tizimga kirishga harakat qilsa, masalan, fishing yoki dasturiy ta'minot xatcho'plari orqali, xavfsizlik guruhi kerakli ma'lumotlarni olish uchun harakatga keltiriladigan ma'lumotlarni taqdim etadigan aniqlash va nazorat qilish qobiliyatiga ega bo'lishi kerak. Agar EDR agenti so'nggi nuqtalarga (serverlar va ish stantsiyalariga) o'rnatilgan bo'lsa, natijada tizim o'zgarishlari real vaqtda tahlil qilinadi, zararli dastur portni ochib, ma'lumotlarni uzatishni boshlashi bilanoq, EDR buni yozib oladi va voqealarni translyatsiya qiladi. SIEM tizimi va xavfsizlik operatori tahdidni blokirovka qilish uchun zarur choralarni ko'radi - portlarni yopish, hujum qilingan segmentni izolyatsiya qilish va hokazo.

Download 20.87 Kb.

Do'stlaringiz bilan baham:
1   2   3   4




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling