可观测性在威胁检测和取证日志分析中的作用

在网络中,威胁是指可能影响其平稳运行的恶意元素,因此,对于任何希望避免任何财政损失或生产力下降机会的组织来说,威胁检测都是必要的。为了先发制人地抵御来自不同来源的任何此类攻击,需要有效的威胁检测情报。

威胁检测可以是用于发现对网络或应用程序的威胁的任何技术,威胁检测的目的是在威胁实际影响目标之前消除威胁。

威胁参与者进入网络核心的路径

恶意软件是一种可能对计算机网络和相关设备具有敌意和危险的软件,它通常是通过来自非法网站的恶意文件引入系统的。

Active Directory 是有关网络的信息存储库,这使得诈骗者成为未经授权访问网络的目标,然后横向扩展到链接到同一网络的多个设备。

攻击的侦察阶段或初步阶段涉及收集有关目标的网络和安全配置文件的信息,然后,使用收集到的信息来确定合适的轨迹,以访问潜在的主机网络。端口扫描是通过了解网络架构来建立进入网络的路径的最广泛使用的技术之一。

网络中的开放端口充当在其上运行的应用程序的网关,因为每个端口都有一个特定的应用程序侦听它。黑客采用的端口扫描过程旨在建立黑客与端口上运行的服务之间的通信。此步骤进一步帮助威胁参与者横向深入网络。网络中的横向扩展是指由于缺乏持续身份验证而逐渐收集各种设备的凭据。这是传统网络中存在的问题,在传统网络中,单个安全漏洞可能会危及整个网络环境。横向扩展是一种高级持续性威胁,往往会在网络中长时间未被发现。但这种垂直运动的含义是什么?

这就是实际问题,即分布式拒绝服务,进入了安全管理员的一长串困境。当网络中的所有端口都被非法流量用完时,网络服务就会中断,最终网络将被视为无法使用。因此,网络作为一个实体所暴露的漏洞是多方面的。

漏洞管理

脆弱性是一个广义的术语,有多种表现形式。但是,所有形式的漏洞都可能允许攻击者访问您的网络并利用其资源。其中一种形式的漏洞是数据包嗅探,在软件数据包嗅探中,网络配置更改为混杂模式,以便于记录数据包。一旦数据包被访问,甚至其标头也可能被更改,从而导致巨大的数据丢失。

MITM攻击也是一种威胁,可能会危及链接到特定网络的用户的敏感数据。在 MITM 攻击中,攻击者拦截实际用户提出的利用实际网络服务的请求。拦截模式可能会有所不同,但 IP 欺骗是最常见的方法。每个设备接口的IP地址是唯一的,通过网络路径传输的数据与IP数据包相关联。攻击者欺骗数据包的标头地址,并将流量重定向到入侵者的设备,使攻击者能够窃取信息。入侵的作案手法可能各不相同,但破坏网络的可能性仍然很高。

全面监控和检测这些威胁超出了支持自动检测端口的扫描工具的范围,然而,端口漏洞并不是唯一需要全面管理的麻烦威胁。

漏洞管理在保护网络免受威胁方面发挥着关键作用,漏洞管理必须是一个持续的循环过程,这样才能足够快地识别和修复威胁,以帮助网络维持运行。

在这里插入图片描述

为什么取证日志分析很重要

保护网络免受威胁和漏洞是任何网络监控工具的主要目的。但是,要实现这一目标,存在许多挑战,包括:

  • 找到问题的根源:在网络中遇到问题后,有必要立即提出解决该问题的办法,为此,应毫不含糊地确定问题的根源。但这并不总是一项简单的任务,考虑到与网络相关的设备和接口的数量。
  • 关联从各种来源收集的日志:解析收集的日志是一项繁琐的操作,尤其是当日志是从复杂的网络体系结构中收集的时,有防火墙日志、事件日志、路由器日志、DNS 日志等等。如果没有适当的日志关联软件,关联它们可能会很乏味。
  • 持续评估网络安全:大型网络可能面临外部和内部威胁,通过使用可观测性,可以加快隔离这些威胁并防止未来攻击的速度。

可观测性在威胁检测中的作用

可观测性仅作用于收集的遥测数据,包括日志、指标和跟踪。作为可观测性的关键支柱,日志记录关键事件,并通过使用网络路径分析和根本原因分析等功能帮助设计有效的威胁情报策略。通过以特定方式分析根本原因,可以创建有关可能对系统或 Web 应用程序产生负面影响的各种异常的信息集合。

可观测性的发展有助于简化威胁检测过程,因为它在人工智能和机器学习的帮助下预测分类威胁。这使您能够深入了解网络的实际拓扑,并创建一个配置文件,通过日志和报告对偏差发出警报。持续反馈是构建可观测性的概念,从日志生成的反馈有助于威胁检测。可观测性不容忽视;现代企业解决方案越来越多地使用它来为客户提供服务,同时遵守隐私规则并满足 SLA 的关键要素。

借助可观测性,所有传入和传出的数据包都会根据一组预先确定的规则进行审查。这些规则是黑客的目标,因为更改它们可能会破坏网络应用程序的功能。基于可观测性的适当防火墙分析器可以快速响应在其监控下对防火墙实施的微小更改。

实用的可观测性解决方案

OpManager Plus 已将可观测性纳入其行列。它改进了其功能,以满足企业在阻止威胁方面的主动监控需求,并且还充分利用了取证日志在实现这一目标方面的潜力,是利用可观测性密切关注网络应用程序的完美解决方案。可以:

  • 获取有关安全性、带宽和合规性的全面报告,确保网络安全永不受到损害,这些安全报告可用于了解可能影响网络的所有安全威胁,这些报告提供了有关安全策略是否需要修订的见解。
  • 对典型的业务流量和网络异常进行分类,以使用由高级安全分析模块(ASAM)提供支持的网络异常检测来保护您的网络。
  • 创建根本原因分析配置文件,并找到影响网络的问题的根本原因。这有助于可观测性构建威胁数据库,从而帮助威胁检测。OpManager Plus将帮助创建一个专用的配置文件,该配置文件由多个数据监视器的集合组成,基于该配置文件可以得出有关影响网络的问题的结论。
  • 防止内部攻击。外部威胁并不是唯一可能影响网络的威胁类别,威胁也可能来自网络内部。这需要一个智能的内部检测工具来监控组织内员工的活动。可以使用内部威胁检测工具持续监控 URL、影子 IT、防火墙警报等。
  • 通过定期监控网络中的所有交换机端口来提高网络安全性。各种应用程序与网络中的设备之间的流量流通过这些交换机端口进行。OpUtils插件提供了一个高效的端口扫描工具,可以高度了解这些端口,并收集有关网络中端口可用性的宝贵信息。
  • 检测网络中的异常流量活动,这可能意味着存在安全威胁,攻击者试图用异常数量的数据包或请求填充真实用户的设备。使用NetFlow Analyzer插件密切监控来自任何可疑来源的流量的任何偏离。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/707877.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

《WebGIS快速开发教程》第6版正式发布啦!

大家过完了一个开心快乐团圆的春节之后,现在也开始慢慢进入到工作和学习的节奏中去了,最近的这段时间是大家考研结果公布和换工作的高峰期,很多成绩不太理想的学生和即将打算换工作的同学都可能会想学习webgis相关,因此我们团队赶…

Bicycles(变形dijkstra,动态规划思想)

Codeforces Round 918 (Div. 4) G. Bicycles G. Bicycles 题意: 斯拉夫的所有朋友都打算骑自行车从他们住的地方去参加一个聚会。除了斯拉维奇,他们都有一辆自行车。他们可以经过 n n n 个城市。他们都住在城市 1 1 1 ,想去参加位于城市…

dolphinscheduler海豚调度(三)SQL任务

在之前的博文中,我们已经介绍了DolphinScheduler海豚调度的基本概念和模块,安装部署和元数据切换,以及Shell任务的实践。今天,让我们来深入探讨DolphinScheduler中另一种常见的任务类型:SQL任务。 SQL任务是DolphinSc…

10:00面试,10:05就出来了,问的问题过于变态了。。。

我从一家小公司转投到另一家公司,期待着新的工作环境和机会。然而,新公司的加班文化让我有些始料未及。虽然薪资相对较高,但长时间的工作和缺乏休息使我身心俱疲。 就在我逐渐适应这种高强度的工作节奏时,公司突然宣布了一则令人…

如何做代币分析:以 TRX 币为例

作者:lesleyfootprint.network 编译:cicifootprint.network 数据源:TRX 代币仪表板 (仅包括以太坊数据) 在加密货币和数字资产领域,代币分析起着至关重要的作用。代币分析指的是深入研究与代币相关的数据…

ffmpeg深度学习滤镜

环境搭建 安装显卡驱动 当前所用显卡为NVIDIA的P6000,在英伟达的官网上查看对应的驱动, 下载NVIDIA-Linux-x86_64-535.104.05.run并安装。 sudo ./NVIDIA-Linux-x86_64-535.104.05.run 安装成功后用nvidia-smi命令后查看 安装的cuda版本不能超过12.2,选择安装cuda11.8。…

Netty01NIO

NIO基础 NIO :non-blocking io 非阻塞 IO 笔记 www.zgtsky.top 网课:黑马Netty 三大组件 Channel & Buffer channel 有一点类似于 stream,它就是读写数据的双向通道,可以从 channel 将数据读入 buffer,也可以…

资料分析:常见关系

两数比关系 一、基础概念 1.产销率(工业产品销售率)是指工业企业在一定时期已经销售的产品总量与可供销售的工业产品总量之比。产品销售率是指报告期产品销售量与产品生产量的比率。是反映报告期工业企业产品产销衔接情况,反映产品生产、销售、流通及满足社会需要程…

Linux学习笔记11——用户组添加删除

Linux 是多用户多任务操作系统,换句话说,Linux 系统支持多个用户在同一时间内登陆,不同用户可以执行不同的任务,并且互不影响。 例如,某台 Linux 服务器上有 4 个用户,分别是 root、www、ftp 和 mysql&…

nginx实现http反向代理及负载均衡

目录 一、代理概述 1、代理概念 1.1 正向代理(Forward Proxy) 1.2 反向代理(Reverse Proxy) 1.3 正向代理与反向代理的区别 2、同构代理与异构代理 2.1 同构代理 2.2 异构代理 2.3 同构代理与异构代理的区别 二、四层代…

使用.NET 升级助手工具将.net framework4.8 MVC项目升级到net6

1 新建.net framework4.8 MVC项目 随便添加一个可以访问的界面用于测试 2 对当前项目进行升级 注意:若要进行升级,首先确保本地已安装相应的sdk,例如:dotnet-sdk-6.0.402-win-x64.exe1.运行cmd命令窗口,进入项目所在…

Ethernet/IP转CC-Link IEFB协议网关

产品功能 1 YC-EIP-CCLKIE工业级EtherNet/IP 网关 2 CC-Link IEFB转 EtherNet/IP 3支持多个CC-Link IEFB节点 4 即插即用 无需编程 轻松组态 ,即实现数据交互 5导轨安装 支持提供EDS文件 6 EtherNET/IP与CC-Link IEFB互转数据透明传输可接入PLC组态 支持CodeSys/支持欧姆…

xss.haozi.me靶场练习

靶场地址alert(1) 1、第一关 输入在文本框里面,我们闭合前面的标签,中间的内容我们就可以随意写了 2、第二关 逃逸value的属性即可,这里使用点击事件触发xss 3、第三关 看代码,使用了正则表达式,去掉了所有的括号字…

使用Java和PostGis的全国A级风景区数据入库实战

目录 前言 一、数据介绍 1、空间数据 2、属性表说明 3、QGIS数据预览 二、PostGIS空间数据库设计 1、空间表结构 三、Java空间入库 1、实体定义 2、数据操作Mapper 3、业务层实现 4、入库 5、数据入库验证 总结 前言 星垂平野阔,月涌大江流”“晴川历历…

SRIO—IP讲解及说明

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、SRIO IP 概述1.1 逻辑层1.1.1 I/O 端口(I/O Port)1.1.2 消息端口(Messaing Port)1.1.3 用户自定义端口(User-Defined Port)1.1.4 维护端口(Maintenance Port)1.2 缓冲层1.3 物理层…

[AIGC] JDK17中的Record类介绍

文章目录 什么是Record类Record类的特点Record类实践 我们都知道,从Java 14开始, JEP 359 推出了一个新的类型声明Record,Record 类型用来模拟不可变的数据结构,它能产生一个类包含一定数量的只读字段。 什么是Record类 在JDK14中引入了一…

C语言中的字体背景颜色汇总

客官请看效果 客官请看代码 #include <stdio.h> #include <stdlib.h> #include <windows.h>int main() {int i;for (i 0; i < 254; i) {SetConsoleTextAttribute(GetStdHandle(STD_OUTPUT_HANDLE), i); // 设置当前文本颜色为循环变量对应的颜色printf(…

【MATLAB】兔子机器人动力学模型解读(simulink中的simscape的各模块介绍)

1、动力学模型 Rectangular Joint 控制平面上&#xff08;x&#xff0c;y轴&#xff09;的移动&#xff0c;去掉以后&#xff0c;机器人在原地翻滚不移动 Rigid Transform 坐标转换&#xff0c;B站视频已收藏 去掉&#xff0c;机体与地面贴合 此处的作用是设定机体的初…

致远OA与红圈CRM无缝对接,数据难题迎刃而解!

客户介绍&#xff1a; 某汽车工程有限公司是一家大型汽车工程研究院&#xff0c;业务范围覆盖汽车设计、研发、试验、检验、认证等多个领域。公司拥有强大的技术实力和研发团队&#xff0c;致力于为汽车行业提供高品质的工程技术服务。 客户痛点&#xff1a; 该公司在业务发展…

.NET生成MongoDB中的主键ObjectId

前言 因为很多场景下我们需要在创建MongoDB数据的时候提前生成好主键为了返回或者通过主键查询创建的业务&#xff0c;像EF中我们可以生成Guid来&#xff0c;本来想着要不要实现一套MongoDB中ObjectId的&#xff0c;结果发现网上各种各样的实现都有&#xff0c;不过好在阅读C#…