Như chúng ta đã biết AdAudit Plus có khả năng phân tích hành vi người dùng (UBA) cho phép quản trị viên giám sát hoạt động tệp của người dùng để xác định sự bất thường. UBA trong ADAudit Plus cũng có thể hỗ trợ xác định các tài khoản bị xâm nhập bằng cách giám sát các mẫu hoạt động đăng nhập của người dùng. Trong blog này, chúng tôi sẽ xem xét cách các tổ chức có thể theo dõi hoạt động đăng nhập bất thường của người dùng để phát hiện các mối đe dọa tiềm ẩn.

Theo dõi hoạt động đăng nhập bất thường
Hãy tưởng tượng bạn có một nhân viên bất mãn muốn đăng nhập vào tài khoản đồng nghiệp để ăn cắp thông tin quan trọng. Để làm điều này, nhân viên lừa đảo có thể thử đăng nhập từ máy tính của đồng nghiệp để tránh gắn cờ sự kiện đăng nhập từ máy mà đồng nghiệp không thường đăng nhập.

Sau khi đồng nghiệp về nhà trong ngày, kẻ tấn công có thể cố gắng đăng nhập bằng một số mật khẩu bị nghi ngờ, cuối cùng đã thành công chỉ sau một vài lần thất bại. Trong trường hợp này, nó không chắc rằng cảnh báo lỗi đăng nhập dựa trên khối lượng sẽ được kích hoạt trong quy trình. Tuy nhiên, nhân viên lừa đảo này không phải là người trong số các ADAudit Plus rõ ràng, sẽ phát hiện thời gian đăng nhập bất thường và đưa ra cảnh báo.

Bằng cách xác định hoạt động bình thường của người dùng, công cụ UBA của ADAudit Plus có thể tạo cảnh báo khi phát hiện hoạt động đăng nhập bất thường.
Nếu không có giải pháp UBA, nhiều khả năng các loại vi phạm này sẽ không được chú ý do khối lượng đăng nhập thất bại thấp. Để theo dõi hoạt động đăng nhập bất thường với ADAudit Plus:

1. Đăng nhập vào ADAudit Plus.
2. Nhấp vào Analytics và chọn Unusual Logon Activity
3. Chọn Unusual Logon Activity Time  và / hoặc Unusual Logon Activity Time on Host để xem báo cáo đăng nhập thành công ngoài thời gian cho phép chung. Xem hình 1.

Có một báo cáo về hoạt động đăng nhập là tốt, nhưng hầu hết các quản trị viên không có thời gian để xem xét các báo cáo. Đây là nơi cảnh báo có ích. Theo mặc định, các cảnh báo UBA được kích hoạt thông qua email, nhưng bạn cũng có thể định cấu hình các cảnh báo này để gửi qua SMS.

Để chỉnh sửa hồ sơ cảnh báo:
1. Chọn tab Configuration.
2. Chuyển đến Alert Profiles > View/Modify Alert Profiles và chọn cấu hình mong muốn.
3. Nhấp vào Configure để sửa đổi cấu hình cảnh báo. Bạn có thể chọn để được thông báo qua email, SMS hoặc cả hai.
4. Nhấp Update

Khi định cấu hình các cài đặt này, quản trị viên sẽ bắt đầu nhận thông báo cho hoạt động đăng nhập bất thường.

Công cụ ADAudit Plus hồi UBA cảnh báo cho quản trị viên về hoạt động đăng nhập bất thường của người dùng. Công cụ phân tích tính toán khung thời gian bình thường cho mỗi người dùng dựa trên hành vi trong quá khứ của họ. Trong trường hợp đăng nhập thành công tại một thời điểm nằm ngoài khung thời gian đăng nhập bình thường, một cảnh báo thời gian đăng nhập bất thường sẽ được kích hoạt và gửi đến quản trị viên.

Đọc sách trắng của chúng tôi về UBA để tìm hiểu thêm về cách UBA có thể giúp bạn phòng thủ trước các cuộc tấn công nội bộ.

Nguồn: ManageEngine