1. 異常建模:使用機(jī)器學(xué)習(xí)模型和異常檢測來識別異常行為,比如用戶從無法識別的IP地址訪問網(wǎng)絡(luò),用戶從與其角色無關(guān)的敏感文檔存儲庫下載大量知識產(chǎn)權(quán)(IP),或者流量從組織沒有業(yè)務(wù)往來的國家或地區(qū)的服務(wù)器發(fā)來。
2. 威脅建模:使用來自威脅情報源的數(shù)據(jù)和違反規(guī)則/策略的情況,尋找已知的惡意行為。這可以快速輕松地篩選出簡單的惡意軟件。
3. 訪問異常建模:確定用戶是否在訪問不尋常的資產(chǎn)或不應(yīng)該訪問的資產(chǎn)。這需要提取用戶角色、訪問權(quán)限及/或身份證件方面的數(shù)據(jù)。
4. 身份風(fēng)險剖析:根據(jù)人力資源數(shù)據(jù)、觀察名單或外部風(fēng)險指標(biāo),確定事件所涉及的用戶風(fēng)險級別。例如,最近沒有被公司考慮升職的員工也許更有可能對公司懷恨在心,企圖進(jìn)行報復(fù)。
5. 數(shù)據(jù)分類:標(biāo)記與事件有關(guān)的所有相關(guān)數(shù)據(jù),如涉及的事件、網(wǎng)段、資產(chǎn)或賬戶,為安全團(tuán)隊提供上下文信息。
行為風(fēng)險分析,通常需要收集大量數(shù)據(jù),并基于該數(shù)據(jù)搭建訓(xùn)練模型,以查找異常行為和高風(fēng)險行為。這種方法通常需要為正常的網(wǎng)絡(luò)行為設(shè)定基準(zhǔn),通過機(jī)器學(xué)習(xí)等模型來檢查網(wǎng)絡(luò)活動并計算風(fēng)險評分,根據(jù)風(fēng)險評分查看異常情況,最終確定行為風(fēng)險級別。這有助于減少誤報并幫助安全團(tuán)隊確定風(fēng)險優(yōu)先級,從而將安全團(tuán)隊的工作量減少到更易于管理的水平。