обнаружение инсайдерских угроз

  1. Сергей Попов

    Статья UEBA для обнаружения инсайдеров: настройка поведенческой аналитики и интеграция с SIEM

    Понедельник, 8:15 утра. В дашборде Splunk UBA - алерт: бухгалтер с десятилетним стажем за три часа выгрузила из 1С и корпоративного SharePoint 4.7 ГБ документов - в 12 раз больше дневной нормы. DLP молчит: файлы не выходят за периметр, антивирус чист, формат стандартный. Через два часа данные на...
  2. Сергей Попов

    Статья Типы инсайдерских угроз: malicious, negligent и compromised — индикаторы, kill chain и модели риска

    В SOC прилетел тикет средней критичности: учётка бухгалтера аутентифицировалась на контроллере домена в 2:47 ночи и запустила PsExec. DLP молчал - формально пользователь работал с файлами, доступными по роли. SIEM выдал единственный алерт: аномальное время логина. На разборе выяснилось -...