最后更新于2024年2月1日(星期四)20:51:45 GMT

记录用户活动是了解用户正在做什么的好方法, 以及他们如何使用网络和计算资源. 从用户身份或登录的角度收集数据是关联各种信息的好方法, too, 包括客户端或工作站活动, 网络和服务器访问, 应用程序使用. 这提供了一个独特的机会来利用 Logentries’ 匹配和整理来自多个来源的信息的能力,使用用户ID作为 共同的主线 把它们联系在一起.

什么是正常的?

从监测的角度来看,首先要做的是建立基线. 这让监控构建了一个普通的画面, 从每个用户的角度来看,每天的行为和活动都是如此. 为了描绘这幅图景,值得收集的数据包括以下数据点:

  • 典型登录/注销次数: 人们通常每天在同一时间上班,每晚在同一时间下班. 建立正常工作时间的档案有助于记录每个用户的日常工作.
  • 应用程序访问: 人们经常日复一日地使用同一套工具, 定期使用与业务相关的其他应用程序, calendar, 或者报告周期. 捕捉这类信息有助于记录他们的日常习惯和日常活动.
  • 使用特权: 用户往往主要使用未升级的权限, 有些人可能会偶尔进入更高级别的访问权限—特别是有各种正当理由行使这种访问权限的管理员或经理. 记录两种特权使用中的模式有助于建立与最危险的特权(升级特权)相关的模式,并描述任务的类型, assets, 以及这些工作可能涉及的资源. Furthermore, 建立和阐明一项明确的政策,即所有升级特权的使用都将受到监视和审计,这让每个人都注意到,升级特权的使用是公开的, 所有这些行为在任何时候都应该很容易解释或辩护.
  • 使用的资源和资产: 文件系统访问, 互联网活动——尤其是上传和下载——以及与同事的协作, partners, 所有的顾客都应该被监控和跟踪. 再一次,明确的政策 防止数据丢失 在公司防火墙和安全控制之外的文件和数据导出应该明确说明, 并受到严密监控. Likewise, 当文件或数据在组织边界之外传播时,用户必须准备好解释和捍卫他们的行为, 是否通过电子邮件附件, upload, USB stick, and so forth.

所有这些对审计的关注, application, 和操作系统日志将让组织建立一个细致入微的个人用户行为和活动的视图. 这为正常和预期创造了一个基线, 并为评估和评价当前的行为和活动提供了有价值的试金石, 特别是当它遇到或超出组织政策限制或要求时.

留意异常情况

基线的实际值为, of course, 它是指行为越界时的指示能力, 超出范围, 或者违反规则. 员工应该明白,寻找异常并不是寻找借口来迫害或纠缠个人. 相反,他们必须明白,这是潜在妥协的一个重要指标. 大多数情况下,当异常发生时, 这是因为用户的身份被窃取或冒充, 而不是因为用户想要做一些邪恶或犯罪的事情. 回顾我们在基线中对用户数据点的分类,以下是异常可以告诉我们的:

  • 如果鲍勃通常从早上7点半到下午5点在办公桌前工作,在上午11点半到下午1点半之间休息一小时吃午饭, 如果我们在半夜看到他的账户在系统或网络上活跃, 这应该引起人们对假冒行为的关注. 周末也是如此, 除非当每季度的补丁和修复被推送到美国东部的所有企业客户时.
  • 如果Bob通常使用文件管理和数据库实用程序, 他的帐户开始使用用户帐户管理或访问人力资源人事文件, 这是一个深刻的线索,表明有人(可能不是鲍勃本人)在他的正常活动范围之外徘徊, 也许是恶意的.
  • 如果Bob通常只处理美国东北部组织单位中的文件管理和数据库实用程序, 他的叙述开始深入研究东南地区或西海岸的这些事情, 有人又在胡闹了, 可能不是鲍勃)在他平常的活动范围之外.
  • 如果Bob开始将最新的销售报告草稿和下一季度的销售预测副本上传到保加利亚的一个网站, 这几乎肯定是某人不怀好意的迹象.

你明白了:一旦我们知道了每个用户的正常情况, 放大并调查不正常或更糟的情况是很容易的, 对于同一用户来说,明显或明显地可疑. 这种技术还可用于跟踪组织内恶意软件的传播, 特别是当一个帐户的泄露导致试图泄露其他帐户时. 应用程序非常多, 但它们都依赖于了解用户群体和他们的正常情况, 日常活动是这样的, 以及它是如何随时间变化的.

从今天开始用一个工具捕获和分析所有日志数据 免费Logentries帐户.