Làm thế nào để tìm ra dấu vết của một cuộc tấn công mạng

network-security-cyber-attack

Với thực tế hiện nay, tấn công mạng đã trở thành chuyện thường ngày trong giới IT. Làm thế nào để có thể nhanh chóng tìm ra các thông tin chi tiết về những cuộc tấn công đó?

Nếu như mạng gặp sự cố, các công cụ hỗ trợ của bạn có thể cho bạn biết chuyện gì đã xảy ra, tuy nhiên, việc biết được ai là kẻ tấn công hay tại sao bị tấn công còn có giá trị hơn thế.Một chương trình giám sát thường xuyên của phần mềm quản lý truy cập có khả năng kiểm soát và phân tích mức độ tin cậy trong mỗi thao tác mạng. Từ đó, thay vì mò kim đáy bể, công cụ phân tích có thể tìm kiếm trong các thông tin đã có nhanh chóng và dễ dàng hơn.

Phần mềm SolarWinds Log & Event Manager với những công nghệ tìm kiếm mới, cho phép phân tích các hoạt động nhanh chóng và thuận tiện hơn. Sau đây là sáu chức năng Log & Event Manager giúp bạn tổng hợp lại schuyện gì đã xảy ra.

1) Phản ứng khi có sự cố

Tạm biệt các thủ tục phức tạp. Phần mềm quản lý sẽ giúp bạn bỏ đi việc xây dựng thủ tục không cần thiết. Bạn thu thập thông tin càng nhanh thì càng có lợi. Khi đó, bạn có thể phản ứng lại nhanh chóng hơn mỗi khi xảy ra sự cố. Chỉ cần đưa tất cả thông tin bạn có vào tìm kiếm và chờ đợi những gì nó lọc ra cho bạn.

2) Chuẩn đoán khi hệ thống ngừng hoạt động

Các công nghệ kiểm tra có thể cho bạn thành phần nào đó của hệ thống đã ngừng hoạt động, và sau đó, có thể cung cấp thêm thông tin khác. Từ những phân tích, bạn có thể kiểm tra mỗi hoạt động để  tìm ra chứng cứ, hoặc xác định nguyên nhân (ví dụ có một phần mềm được cài đặt 30 giây trước khi hệ thống dừng hoạt động). Các ngoại lệ, cảnh báo, sự thay đổi các file,… tất cả đều được ghi lại để có thể kiểm soát nguyên nhân dẫn tới sự cố.

3) Giám sát ủy quyền và nguy cơ từ các truy cập bên ngoài

Tất cả mọi xác nhận và truy cập vào hệ thống của bạn đều sẽ được Log & Event Manager thu thập lại. Với công cụ phân tích, bạn có thể nhanh chóng phát hiện, nếu có ai đó cố gắng truy cập trái phép, nếu như việc đó được lặp lại liên tục từ một tài khoản, hoặc nếu như địa chỉ IP có vẻ đáng ngờ.

Bạn cũng có thể lọc ra các tài khoản đáng ngờ, đơn giản nhất là quan sát địa chỉ IP của nó. Nếu bạn thấy một IP từ nước ngoài hoặc một dạng nào khác, thì sẽ có thứ cần phải điều tra.

4) Nhận dạng các hành vi của người dùng

Bạn có thể kết nối các hành vi của người sử dụng bằng các thông tin trong lịch sử. Từ đó, bạn có thể quan sát các hoạt động của một cá nhân, một nhóm tài khoản hoặc một loại tài khoản đặc biệt.

Sử dụng thiết bị quản lý sẽ giúp bạn thu thập các thông tin trên hàng trăm thiết bị và tổng hợp chúng lại một cách dễ dàng để điều tra các hoạt động mới nhất, các thay đổi quyền,… Cuối cùng, công cụ phân tích sẽ nhanh chóng tìm ra các hành vi không bình thường trong tài khoản mà bạn đang điều tra.

5) Giám sát việc truyền tin trên mạng

Việc giám sát này đơn giản giống như hỏi tại sao bạn lại nhìn thấy một lượng thông tin rất lớn truyền đi từ một địa chỉ IP. Nếu bạn có thông tin về địa chỉ IP này bạn có thể sớm nhận diện sự đáng ngờ trong việc truyền tin, trừ khi đó là một địa chỉ mà bạn biết rõ và cho phép truyền tin. Bạn có thể có các thông tin về nguồn, đích, điểm trung gian và giao thức truyền tin.

6) Thay đổi ID file

Khi quan sát thông tin các hoạt động, bạn có thể thấy các file được thay đổi, thậm chí tới hàng triệu lần. Làm thế nào để biết được cái nào là nguy hiểm cần phải cách ly với các file nhạy cảm ( các file doc được bảo vệ, các thông tin tài chính, tài liệu cá nhân, bản ghi…). Hãy đưa các chỉnh sửa này vào hệ thống phân tích và nhận biết nếu có hành vi đáng ngờ diễn ra.

Một vài virus có thể thay đổi các file, ảnh hưởng tới hệ thống, ví dụ thay đổi quyền truy cập, lấy các thông tin cá nhân ví dụ như mật khẩu, chuyển kết quả vào các file trái phép hoặc theo kết nối mạng. Hệ thống phân tích sẽ chỉ cho bạn thấy khi một file bị chỉnh sửa, ai đã làm việc đó và vào lúc nào.

Những chức năng khác của phần mềm:

  • Các luật và báo cáo phù hợp với yêu cầu của ngành công nghiệp
  • Đơn giản hóa việc thu thập dữ liệu, nhanh chóng tìm ra nguyên nhân sự cố và dễ dàng xử lý
  • USB Defender: phát hiện các USB lạ và giám sát hoạt động của các file để ngăn chặn việc đánh cắp dữ liệu.
  • Xây dựng phương pháp tìm kiếm nhanh chóng với thao tác kéo thả đơn giản, lưu và tái sử dụng các kết quả tìm kiếm đã có.
  • Kiểm soát các file, registry và thư mục để phát hiện và cảnh báo mỗi khi có các điều khả nghi.

Tải về dùng thử miễn phí 30 ngày  Log & Event Manager với đầy đủ chức năng.

THN

 

 

 

 

Bình luận

Từ khóa: