В статье рассказываю о возможности применения концепции категорийных моделей для выявления аномалий в действиях пользователей при помощи SIEM. Модели позволяют описать и использовать профиль типичной активности пользователей и других сущностей. У себя используем их для выявления кражи учетных записей, перемещения по инфраструктуре (lateral movement). Кроме того, именно правила "Первый раз X сделал Y" стали использоваться для прямых уведомлений нашим сотрудникам из SIEM.
Читать далееИсточник: Хабрахабр
Источник: unknownuser11
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке