Os recursos de análise de comportamento do usuário (UBA) do ADAudit Plus permitem que os administradores monitorem a atividade de arquivos dos usuários para identificar anomalias. O UBA no ADAudit Plus também pode ajudar na identificação de contas comprometidas, monitorando os padrões de atividade de logon dos usuários. Neste post, veremos como as organizações podem monitorar atividades incomuns de logon de usuários para detectar possíveis ameaças.
Rastreando atividades de logon incomuns
Imagine que você tem um funcionário insatisfeito que deseja fazer login na conta de um colega de trabalho para roubar informações importantes. Para fazer isso, ele pode tentar fazer logon no computador do colega de trabalho para evitar sinalizar um evento de logon de uma máquina na qual o colega geralmente não faz logon.
Depois que esse colega vai para casa durante o dia, o invasor pode tentar fazer logon com várias senhas suspeitas, eventualmente obtendo sucesso após apenas algumas tentativas fracassadas. Nesse caso, é improvável que um alerta de falha de logon baseado em volume seja acionado no processo. No entanto, esse funcionário ainda não está fora de perigo – o ADAudit Plus detectará o tempo de logon incomum e emitirá um alerta.
Ao determinar a atividade normal dos usuários, o mecanismo UBA do ADAudit Plus pode gerar alertas ao detectar atividades de logon incomuns.
Sem uma solução UBA, é provável que esses tipos de violação passem despercebidos devido ao baixo volume de falhas de logon. Para rastrear atividades de logon incomuns com o ADAudit Plus:
-
Faça login no ADAudit Plus.
-
Clique em Analytics e selecione Atividade de logon incomum.
-
Selecione Tempo de atividade de logon incomum e/ou Tempo de atividade de logon incomum no host para exibir o relatório de logons bem-sucedidos fora do tempo permitido geral. Veja a Figura 1.
Figura 1. Relatório de tempo de atividade de logon incomum.
Ter um relatório da atividade de logon é bom, mas a maioria dos administradores não tem tempo para revisar os relatórios. É aqui que os alertas são úteis. Por padrão, os alertas UBA são acionados por meio de notificação por e-mail, mas você também pode configurar esses alertas para serem enviados via SMS.
Para editar perfis de alerta:
-
Selecione a guia Configuração.
-
Vá para Perfis de alerta > Exibir/modificar perfis de alerta e selecione o perfil desejado.
-
Clique em Configurar para modificar o perfil de alerta. Você pode optar por ser notificado por e-mail, SMS ou ambos.
-
Clique em Atualizar.
Ao definir essas configurações, os administradores começarão a receber alertas para atividades de logon incomuns.
O mecanismo UBA do ADAudit Plus alerta os administradores sobre atividades de logon incomuns dos usuários. O mecanismo de análise calcula um período de tempo normal para cada usuário com base em seu comportamento anterior. No caso de um logon bem-sucedido em um horário fora do período normal de logon, um alerta de horário de logon incomum será acionado e enviado ao administrador.
Confira nosso site para saber mais sobre como o UBA pode ajudá-lo a se defender contra ataques internos.
