以提供企業資料存取控管(Data Governance)解決方案著稱的Varonis,旗下有一套警示模組DatAlert,其中,提供了可額外選購的使用者行為分析範本DatAlert Analytics,快速建置異常存取行為偵測的條件。

這個模組非獨立運作的軟體,必須與DatAdvantage主程式搭配使用,它以往沒有專屬的儀表板,警示訊息都是透過發送電子郵件,或是傳送到DatAdvantage及Varonis支援的SIEM平臺(例如HP ArcSight)。最近推出的6.2.35版,為了提升對使用者資料異常存取行為監控的能力,DatAlert首度加入了專屬的儀表板,提供豐富的分析資訊。

此外,IT人員也能自行在DatAlert中,加入與企業資安規範有關的配置。而購買DatAlert Analytics的用戶,原廠目前透過系統通知,不定期提供新版規則模組。

在Varonis資料存取控管軟體中,DatAlert模組從原本提供警示通知給管理者的功能,新增針對使用者存取行為監控的專屬儀表板,統整所有警示記錄,顯示威脅程度指標,以及相關的使用者、事件與受到影響的檔案。

新增專屬儀表板,加入攻擊鏈分析資訊,連結相關可疑行為

新版本DatAlert最大的改變,莫過於新增的專屬儀表板,將所有警示資訊做統整,管理者可綜覽全公司的概況,並且追蹤風險指數較高的使用者,以及掌握頻繁遭到大量存取或修改的文件。

DatAlert以往只有設置發出警示規則的界面,加上這個解決方案採用專屬管理軟體,而非像許多的SIEM系統,只要透過瀏覽器,就能直接連線操作,修改設定。而且,DatAlert發出的警報,必須透過其他的軟體檢視,例如DatAdvantage主程式,或是HP ArcSight、FireEye,以及Splunk Enterprise Security等其他廠牌的SIEM系統,或是其他內部存取行為監控(UBA)的平臺,進行資料的整合。

雖說透過上述SIEM軟體,也能瀏覽DatAlert發現異常的記錄,但是不一定能夠快速掌握現況:那些使用者的存取行為極為異常,或是特定資料夾中的文件曾經遭到大量刪除,因此,Varonis為DatAlert新增專屬的儀表板,提供警示事件統計,以及使用者排行、最常存取的文件和最常發生的異常行為等資訊。

此外,這個儀表板也提供攻擊鏈(Kill Chain)分析,這裡主要是呈現DatAlert對於目前發生異常事件的分類,以及各類型的事件數量統計,管理者可藉此得知近期較為嚴重的異常行為類型。

這個攻擊鏈,也能顯示不同階段事件的順序與統計。例如對於某個攻擊事件,它可能區分為前期勘查、入侵、提升權限、資料竊取等階段,並對這些過程有關的行為加以歸類,供管理者進一步調查之用。

透過指定的規則,發現異常的檔案存取行為,可警示與執行指定腳本

而DatAlert的基礎功能,主要從警示機制出發,這套產品提供可自訂的規則(Rules),主要以4大面向做為偵測過濾條件,分別是依據使用者(Who)、受影響的目標對象(Where)、發生的可疑行為(What),以及發生的時段(When),進行過濾事件的依據。

不論是上述那一種面向的條件,這套系統都提供多重的過濾參數。例如,管理者可以指定同時符合某一臺檔案伺服器,以及其中的文件資料夾,DatAlert才會套用這個規則,發出通知給管理者。而這個模組也支援以排除指定條件的方式,規定其餘的用戶行為記錄,都必須經過這組規則的檢查才行。

此外,IT人員可自行設置警示規則,並可依據單一事件,或者是短時間內大量重覆發生的行為,提醒負責的管理者加以留意。

例如,某個使用者在1分鐘之內突然修改500個檔案,這種大量讀取某個伺服器資料的行為,極為不尋常,透過DatAlert,就能在企業內部出現這種情況時,發出警告。

這個模組支援透過多種方式通知管理者,在基本的發送電子郵件之外,也能以Syslog或是SNMP的型式,傳送到SIEM平臺或是DatAdvantage檔案稽核軟體。因此,管理者也能透過這些平臺,檢視相關問題。

甚至,DatAlert支援在警示時執行腳本(Script),因此管理者也可以透過這個功能,做為延伸應用,例如,發出警示訊息,告知該名使用者已經違反公司規定。

可選購常用規則範本直接匯入使用,並能經常取得更新

從零開始設定異常行為的規則,並不容易,而且難以考量周全、配置較為完善的偵測條件,而在Varonis DatAlert Analytics規則模組中,可將常見的檔案異常存取行為,彙整為40多組規則供客戶匯入運用。

不過,原廠考量到企業自行依據公司規定,在DatAlert建立新規則時,可能會與模組內容衝突,以及這套系統很可能並未連接外部網路等情況,因此,目前還不像防毒軟體的病毒特徵碼一般,支援自動更新,管理者須手動執行。

Varonis亞太區高級顧問工程師楊振濤表示,模組中的規則,未來計畫提供直接可線上更新方式取得。

值得一提的是,DatAlert Analytics提供的規則,也能偵測近期相當熱門的加密勒索軟體(Crypto-Ransomware),它們的惡意行為。具體的做法上,其實是DatAlert在短時間內,發現大量的檔案被修改為指定格式的副檔名時,就會通過指定的方式,回報管理者。

而這類惡意軟體變種相當快速,實際上DatAlert Analytics對加密勒索軟體的偵測能力,相當倚賴原廠目前平均大約1個月派送2次、對於相關規則範本的更新檔案。

能自訂警示規則,並能選購供快速設置的範本

Varonis DatAlert透過規則的型式,定義各種異常行為,管理者可依據公司資安規定,加入相關偵測條件,在系統發現這些情形時,進行警示與阻斷。這個公司也額外推出DatAlert Analytics標準規則模組,減少管理者建置時,需逐筆條件設定的困擾。

 

可針對短時間內重複發生的事件制定警示規則

針對自行建置規則,管理者可設定事件的嚴重程度、收取資料的型態,以及定義DatAlert需要警示的條件:單一事件即通知,或是在短時間反覆發生時(例如加密勒索軟體執行時,逐一將特定格式檔案加密後、改掉檔名),提出警告。

 

可依據各種面向,設置複合式條件

在規則的觸發條件中,管理者可依據人、事、時、地這四大面向,進行設定。針對其中的某個層面,可配置包含或是排除多種條件,例如圖中為指定來自某個檔案伺服器與資料夾,系統也提供檢視,協助管理者判斷條件是否符合需求。

 

 產品資訊 

Varonis DatAlert 6.2.35

●代理商:商丞科技(02)2914-8001

●建議售價:廠商未提供

●系統架構:應用程式伺服器IDU Server,與網路流量接收伺服器Probe Server

●伺服器硬體需求:2個2.0 GHz處理器、16GB記憶體、200GB儲存空間

●伺服器作業系統需求:Windows Server 2008 R2~2012 R2

●資料庫軟體需求:64位元標準版SQL Server 2008 R2~2014

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容