Место издания:Филиал МГУ в г. Севастополе Севастополь
Первая страница:219
Последняя страница:220
Аннотация:Обнаружение случаев нарушения безопасности и отслеживание всех действий злоумышленника
после обнаружения может являться сложной задачей [1]. Однако, такой продукт, как Elastic Stack,
может быть использован для обнаружения нарушений безопасности и проведения расследования того,
кто, когда и как получил несанкционированный доступ к информационной системе организации.
Elastic Stack может определить источник угроз нарушений безопасности. Первый этап: сбор
данных. Сбор информации из журналов можно осуществить с помощью специальных систем
доставки данных, называемых Beats (в частности, Winlogbeat для журналов событий Windows и
Packetbeat для сетевых данных).
На втором этапе Kibana предоставляет слои визуализации и исследования данных для выявления потенциальной злонамеренной активности, позволяя аналитикам безопсности анализировать и
«развертывать» данные по мере необходимости, чтобы отслеживать потенциальную угрозу. Используя модуль «anomaly explorer», аналитики безопасности могут детальнее изучить аномалии: увидеть,
где они произошли, когда они произошли, и серьезность проблемы. Используя модуль машинного
обучения (machine learning influencer) можно увидеть, как аналитик безопасности может определить:
какие хосты и домены принимали участие во время инцидента.