在之前的文章中,我们看到ADAudit Plus中用户行为分析(UBA)功能如何监视用户活动来识别异常。
而在此文章中,ADAudit Plus中的UBA还可以通过监视用户登录活动来检测潜在威胁,我们将研究企业如何监视异常用户登录活动。
跟踪异常的登录活动
想象一下,假如您有一个心怀不满的员工,他想窃取重要的信息。因此,该员工可能会尝试登录同事的计算机,以规避风险。
同事在某天回家后,心怀不满者尝试使用几个成功几率大的密码登录,仅仅失败了几次就登录成功。那在这种情况下,这个过程较难触发登录失败告警。这名员工还不知道即将到来的危险,而ADAudit Plus已检测到异常的登录时间并发出告警。
通过确定用户的正常活动,ADAudit Plus的UBA引擎可以在检测到异常登录活动时生成告警。
如果没有UBA解决方案,由于登录失败的次数很少,这些类违规行为便很难被注意到。
使用ADAudit Plus跟踪异常的登录活动:
1.登录到ADAudit Plus。
2.单击分析,然后选择“异常登录活动”。
以查看用户规定时间以外的登录报表。
即使有了这些登录活动的报表,但是大多数管理员并没有时间查看报表,那告警就派上了用场。UBA的默认告警是电子邮发送通知,您也可以配置告警,将其设置为短信通知或执行脚本。
配置告警设置:
1.点击配置;
2.选择告警配置文件;
3.查看/编辑告警配置文件,然后选择所需的配置文件。
4.单击配置修改告警配置文件,您可以选择通过电子邮件、短信、执行脚本或同时通过这三种方式来接收通知。
5.点击更新。
这些配置完后,管理员将开始收到有关异常登录活动的告警。
ADAudit Plus的UBA引擎会警告管理员有关用户的异常登录活动,分析引擎会根据用户过去的行为以计算他们正常活动时间范围。如果在正常登录时间范围之外的登录成功,则会触发异常登录告警并将通知管理员。