Os recursos de análise de comportamento do usuário (UBA) do ADAudit Plus permitem que os administradores monitorem a atividade de logon do usuário para identificar contas comprometidas. Mas o UBA no ADAudit Plus também pode ajudá-lo a rastrear qualquer processo incomum em servidores membros para se proteger contra ameaças externas. Neste post, veremos como as organizações podem rastrear facilmente quando um processo é executado em servidores membros pela primeira vez.
Rastreando processos incomuns em um host
Imagine um cenário em que um funcionário clica em um link malicioso e baixa um malware que criptografa seus dados antes que eles comecem a se espalhar pela rede. Imediatamente após o download do programa malicioso, a solução UBA detecta um novo processo nos servidores membros e aciona um alerta. Ele também detecta o número excepcionalmente alto de arquivos que são modificados no processo e alerta o administrador. Quanto mais rápido um ataque for detectado, mais fácil será para os administradores mitigar o impacto.
Para rastrear processos incomuns em um host com o ADAudit Plus:
-
Faça login no ADAudit Plus.
-
Clique em Analytics e selecione Atividade de processo incomum.
- Para visualizar o relatório de processos que foram executados no host pela primeira vez, selecione Novo processo no servidor. Veja a Figura 1.
Figura 1. Primeiro relatório de atividade do processo no ADAudit Plus.
Ter um relatório de processos incomuns em um host é bom, mas a maioria dos administradores não tem tempo para revisar relatórios. É aqui que os alertas são úteis. Por padrão, os alertas do UBA são acionados por e-mail, mas você também pode configurar esses alertas para serem enviados por SMS.
Para editar perfis de alerta:
-
Selecione a guia Configuração.
-
Vá para Perfis de alerta > Exibir/modificar perfis de alerta e selecione o perfil necessário.
-
Clique em Configurar para modificar o perfil de alerta. Você pode optar por ser notificado por e-mail, SMS ou ambos.
- Clique em Atualizar.
Ao definir essas configurações, os administradores começarão a receber alertas sobre quaisquer processos incomuns em um host.
Resumo
O mecanismo UBA do ADAudit Plus alerta os administradores sobre qualquer atividade de processo executada pela primeira vez em um servidor membro. Usando os dados criados por processos anteriores, o mecanismo de análise verificará os processos atuais para qualquer atividade incomum. Se houver um processo inicial em um host, um alerta de processo incomum será acionado e enviado ao administrador.
Confira nosso site para saber mais sobre como o UBA pode ajudá-lo a se defender contra ataques internos.
