Я обещал рассказать как можно определить скомпрометированный пароль без ошибочного ввода в поле имя учетной записи.
Суть состоит в том, чтоб отслеживать авторизацию одной учетной записи с разных IP адресов за определенный промежуток времени или определять несовпадение имени пользователя ОС с именем пользователя при авторизации в приложениях.
Есть несколько вариантов решения данной задачи:
1. Автоматизировать с помощью системы мониторинга.
Подготовить соответствующие правило сравнения для системы мониторинга.
Пример.
Успешная авторизация пользователя в AD - повторная успешная авторизация с IP не такого как в первом событии.
Если определить большой интервал, может быть ложное срабатывание (это когда у пользователя нет постоянного рабочего места) к примеру сотрудники Колл-Центров.
Также необходимо исключить технологические УЗ, т.к. они очень часто используются модулями программного обеспечения.
Повесив данную задачу на систему мониторинга, система будет под большой нагрузкой. В таком варианте для каждого события создается отдельная ячейка в буфере и пропускаются все вновь поступающие события через фильтр сравнения. Мы проводили данный эксперимент на нашей системе, в результате система не выдержала, и пришлось отключить это правило т.к. из за большой нагрузки не эффективно работают другие правила.
2. Ручная обработка.
Данный метод заключается в том, что вам необходимо будет выгружать журналы событий в БД или файл с определенной периодичностью, и вручную осуществлять сравнение. Конечно можно частично автоматизировать данный процесс, но выявление в реальном времени можно достичь только с помощью системы мониторинга. При ручной обработке больших объемов данных рекомендую использовать разные парсеры к примеру grep или сводными таблицами Excel (новый Excel 2010 может обработать более чем один миллион строк - запаситесь оперативной памятью).
У обоих вариантов есть свои недостатки, вы сами должны определить наиболее приемлемый для себя метод.
Если вы знаете другие варианты, прошу в комментарий.
.jpg)
0 коментарі:
Дописати коментар