ueba

  1. Сергей Попов

    Статья Поведенческий анализ угроз UEBA: detection без сигнатур для Blue Team

    SIEM-дашборд зелёный, корреляционные правила отрабатывают штатно. Ранним утром UEBA-модуль поднимает risk score до 87 для сервисной учётной записи svc_backup: в 02:38 она аутентифицировалась через VPN с IP-адреса, который ни разу не фигурировал в её профиле, после чего за 12 минут выполнила 340...
  2. Сергей Попов

    Статья Типы инсайдерских угроз: malicious, negligent и compromised — индикаторы, kill chain и модели риска

    В SOC прилетел тикет средней критичности: учётка бухгалтера аутентифицировалась на контроллере домена в 2:47 ночи и запустила PsExec. DLP молчал - формально пользователь работал с файлами, доступными по роли. SIEM выдал единственный алерт: аномальное время логина. На разборе выяснилось -...
  3. Сергей Попов

    Статья Identity-based атаки: как атакующие используют легитимные учётные записи и как их детектировать

    Полгода назад я разбирал инцидент в финансовой компании: lateral movement через 14 хостов, эксфильтрация 2 ТБ данных, время пребывания - 19 дней. CrowdStrike Falcon на endpoint'ах не сгенерировал ни одного алерта. Ноль. Причина: атакующий угнал сервисный аккаунт с domain admin привилегиями и...