Przetwarzanie sesji - uczenie maszynowe¶
Fudo PAM jest w stanie wykryć zmiany w zachowaniu użytkowników i pomóc w identyfikacji przypadków, w których dostęp do konta uprzywilejowanego został uzyskany przez osoby nieupoważnione. Fudo PAM śledzi także parametry ilościowe sesji i informuje administratora o nadmiernie dużej liczbie połączeń lub podejrzanie długo trwającej sesji.
Model zawartości¶
Model zawartości analizuje sesje RDP oraz SSH w celu zbudowania indywidualnych profili behawioralnych użytkowników. Na podstawie zebranych danych, Fudo PAM może wykryć najdrobniejsze zmiany w zachowaniach użytkowników i pomóc w zapobiegnięciu nadużycia praw dostępu.
Model RDP
Model zawartości RDP oparty jest na analizie ruchu kursora myszy.
Wymagania ilościowe modelu RDP:
Minimalne:
- 5 godzin nagranych sesji dla jednego predyktora,
- 5 unikatowych predyktorów (np. użytkowników).
Optymalne:
- 30 godzin nagranych sesji dla jednego predyktora,
- 10 unikatowych predyktorów.
Informacja
Jakość modelu RDP zależy od konsekwencji sposobu interakcji użytkownika z monitorowanym systemem. Jeśli użytkownik korzystał z różnych systemów operacyjnych i różnych urządzeń wejściowych (np. różne myszki, trackpad, trackball), model będący wynikiem analizy sesji nie będzie efektywny, z uwagi na wysoką tolerancję sposobu interakcji użytkownika z systemem.
Model SSH
Model SSH treści oparty jest na analizie komend wprowadzonych przez użytkownika.
Wymagania ilościowe modelu SSH:
Minimalne:
- 65 nagranych sesji (minimum 25 unikatowych komend w każdej sesji),
- 5 unikatowych predyktorów (np. użytkowników).
Optymalne:
- 300 nagranych sesji dla każdego predyktora,
- 10 unikatowych predyktorów.
Ocena sesji¶
Fudo PAM analizuje sesji w czasie rzeczywistym i wyznacza poziom zagrożenia (OK, NISKI, WYSOKI) w zależności od tego jak zachowanie użytkownika odbiega od schematu zapisanego w modelu.
Informacja
Sesje przetwarzane są w cząstkach o stałej liczbie zdarzeń. Przetwarzanie odbywa się w czasie rzeczywistym, o ile dostępne są zasoby odpowiedzialne za analizę sesji. W przypadku braku zasobów, bieżące sesje nie są analizowane.
Modele są kalibrowane indywidualnie a wyniki analizy prezentowane są na liście sesji.
| Ikona | Opis |
|---|---|
| . | Sesja w trakcie analizy, wstępny wynik - brak zagrożenia. |
| . | Sesja w trakcie analizy, wstępny wynik - średni poziom zagrożenia. |
| . | Sesja w trakcie analizy, wstępny wynik analizy - wysoki poziom zagrożenia. |
| . | Sesja oczekuje na analizę lub jest wstępnie przetwarzana. |
| . | Sesja nie poddana analizie z uwagi na brak wyuczonego modelu. |
| . | Sesja przetworzona - brak zagrożenia. |
| . | Sesja przetworzona - średni poziom zagrożenia. |
| . | Sesja przetworzona - wysoki poziom zagrożenia. |
| . | Sesja przetworzona - brak wyniku analizy. |
Informacja
Efektywność modelu SSH ściśle zależy od jakości danych użytych w procesie trenowania. Jeśli użytkownik udostępniał dane logowania innym, powstały na tej podstawie model może nie być w stanie stwierdzić różnicy w zachowaniach użytkowników.
Modele ilościowe¶
Fudo PAM monitoruje liczbę połączeń oraz ich czas trwania i może zaalarmować administratora jeśli stwierdzi nadzwyczaj dużą liczbę połączeń jednoczesnych lub podejrzanie długo trwającą sesję.
Ocena bieżąca dokonywana jest w odniesieniu do danych historycznych, zebranych dla użytkowników, kont i serwerów dla każdego dnia tygodnia i każdej godziny.
Tematy pokrewne: