GeoLogonalyzer работает от FireEye, чтобы идентифицировать несанкционированный вход в систему на основе GeoFeasibility, он идентифицирует аномалии, основанные на скорости требуемого перемещения, изменения расстояния, имени хоста, изменений ASN, изменений VPN-клиента и т.д.
Организации должны быть связаны с целевой системой из нескольких мест, злоумышленники могут использовать украденные у сотрудников учетные данные, чтобы получить доступ к системе, и главная проблема состоит в том, что очень сложно обнаружить несанкционированный вход в систему.
GeoFeasibility работает на основе того места, где пользователь инициировал вход в систему, например, пользователь, подключающийся к VPN из Нью-Йорка в 13:00, но может снова подключиться к VPN из Австралии через пять минут.
Согласно данным
Ссылка скрыта от гостей
GeoLogonalyzer оценивает местоположение каждого входа, происходящего с помощью использования данных, таких как бесплатная база данных GeoIP от MaxMind. С помощью меток времени аналитики могут определить возможность перемещения пользователя между местоположениями.Например, первый пользователь, «Меган», вошел в систему из Нью-Йорка, Нью-Йорк, 24.11. 2017 в 10:00:00 UTC, а затем вошел в систему из Лос-Анджелеса, штат Калифорния, через 10 часов 24.11.2017 в 20:00:00 UTC, что составляет примерно 2,450 миль в течение 10 часов. Разница во времени между входами в систему Meghan составляет 10 часов, что даёт нам информацию о скорости перемещения злоумышленника, а именно 245 миль в час, что разумно через коммерческие рейсы авиакомпании.
Если вход во вторую учетную запись пользователя, «Гарри», был произведен из Далласа, штат Техас, в 25.11.2017 в 17:00:00 по UTC, а затем из Сиднея, Австралия, через два часа в 25.11.2017 в 19:00: 00 UTC, что примерно составляет 8 500 миль в течение двух часов. Изменение локации входа в систему Гарри может быть нормализовано до 4250 миль в час, что, вероятно, не поддается современным технологиям используемых для путешествий».
Приведем пример журналов GeoLogonalyzer
Аналитики могут использовать GeoLogonalyzer для регистрации запроса на вход из стран или регионов, где нет бизнеса или нет сотрудников, или данных, пользователей, имен пользователей и неподтвержденных VPN.
GeoLogonalyzer полагается на данные с открытым исходным кодом, чтобы определить поставщика облачного хостинга. Использование VPN или других служб туннелирования может служить причиной ложных срабатываний. GeoLogonalyzer можно скачать с GitHub.
Источник:
Ссылка скрыта от гостей
