Quest Change Auditor Threat Detection

Продукт

Разработчики:	Quest Software
Технологии:	ИБ - Аутентификация

Контроль изменений в инфраструктурe Windows на основе поведенческого анализа

Аналитическая платформа обнаружения угроз в инфраструктуре Windows на основе поведенческого и статистического анализа, а также машинного обучения.

Повышает точность детектирования подозрительных событий, уменьшает количество ложных срабатываний.
Определяет потенциально опасных пользователей на основе их поведения с учетом исторических данных.
Интегрируется с существующими модулями Change Auditor.
Не требует изменения инфраструктуры.

Quest Change Auditor это:

Глубокий аудит и унификация данных из логов и журналов Windows-инфраструктуры.
Отслеживание действий администраторов на критических системах.
Защита от нежелательных (в т.ч. случайных) изменений объектов AD, почтовых ящиков, файлов и папок в Windows.
Оповещения в режиме реального времени (в т.ч. по электронной почте и SMS).
Восстановление единичных изменений.
Понятный интерфейс и ролевой доступ к системе.

Технологии: pattern-based threat detection

Change Auditor Threat Detection моделирует линии поведения и отслеживает цепочки действий пользователей, чтобы обнаружить подозрительную активность, исходящую от злонамеренных пользователей или скомпрометированных аккаунтов.Александр Краснов, «Штурвал»: Делая настоящий Kubernetes для Enterprise, мы к тому же создали продукт для инженерного сообщества 3.5 т

Change Auditor Threat Detection: как это работает?

Сбор и анализ логов (попытки авторизации, изменения в AD, действия с файлами);
Создание базовых моделей поведения пользователей (на основе 30 дней наблюдения);
Обнаружение отклонений от базовых моделей и аномалий поведения;
Корреляция событий и подтверждение инцидентов;
Построение моделей рисков;
Приоритезация рисков, отслеживание подозрительных пользователей.

Действия пользователей, подпадающих под наблюдение и корреляцию: