在之前的文章中,我們看到ADAudit Plus中使用者行為分析(UBA)功能如何監視使用者活動來識别異常。
而在此文章中,ADAudit Plus中的UBA還可以通過監視使用者登入活動來檢測潛在威脅,我們将研究企業如何監視異常使用者登入活動。
跟蹤異常的登入活動
想象一下,假如您有一個心懷不滿的員工,他想竊取重要的資訊。是以,該員工可能會嘗試登入同僚的計算機,以規避風險。
同僚在某天回家後,心懷不滿者嘗試使用幾個成功幾率大的密碼登入,僅僅失敗了幾次就登入成功。那在這種情況下,這個過程較難觸發登入失敗告警。這名員工還不知道即将到來的危險,而ADAudit Plus已檢測到異常的登入時間并發出告警。
通過确定使用者的正常活動,ADAudit Plus的UBA引擎可以在檢測到異常登入活動時生成告警。
如果沒有UBA解決方案,由于登入失敗的次數很少,這些類違規行為便很難被注意到。
使用ADAudit Plus跟蹤異常的登入活動:
1.登入到ADAudit Plus。
2.單擊分析,然後選擇“異常登入活動”。
以檢視使用者規定時間以外的登入報表。
即使有了這些登入活動的報表,但是大多數管理者并沒有時間檢視報表,那告警就派上了用場。UBA的預設告警是電子郵發送通知,您也可以配置告警,将其設定為短信通知或執行腳本。
配置告警設定:
1.點選配置;
2.選擇告警配置檔案;
3.檢視/編輯告警配置檔案,然後選擇所需的配置檔案。
4.單擊配置修改告警配置檔案,您可以選擇通過電子郵件、短信、執行腳本或同時通過這三種方式來接收通知。
5.點選更新。
這些配置完後,管理者将開始收到有關異常登入活動的告警。
ADAudit Plus的UBA引擎會警告管理者有關使用者的異常登入活動,分析引擎會根據使用者過去的行為以計算他們正常活動時間範圍。如果在正常登入時間範圍之外的登入成功,則會觸發異常登入告警并将通知管理者。