Inleiding In de complexe wereld van IT-beveiliging is forensisch onderzoek een kritische discipline die helpt bij het ontrafelen van de mysteries achter cyberaanvallen en beveiligingsinbreuken. Een onderschatte held in dit scenario is ‘centrale logging’ – een goudmijn voor forensische data-analyse. Deze blog duikt in de essentie van centrale logging en [...]
Anomaly detectie biedt een uiterst effectieve manier om het beheer van miljoenen logs te vereenvoudigen. Je wilt natuurlijk niet de hele dag bezig zijn met het monitoren van ‘saaie’ logs op zoek naar afwijkingen die kunnen wijzen op problemen.
Stel je hebt een logbron die Windows Event Logs van een Domain Controller bevat. We kunnen hierop een anomaly detectie instellen die specifiek zoekt naar verwijderde groepen.
Normaal gesproken verwijdert een beheerder periodiek groepen binnen Active Directory als onderdeel van de reguliere werkzaamheden. De anomaly detector creëert hiervan een baseline. Als er echter op een bepaalde dag veel meer groepen worden verwijderd dan normaal, detecteert de anomaly detector een onregelmatigheid. Op basis van de baseline wordt aan deze gebeurtenis een bepaalde anomaly score toegekend.
Wanneer de anomaly detector wordt getriggered, ontvangen de juiste personen direct een e-mailmelding, zodat ze op de hoogte zijn van de gebeurtenis. Uiteraard kan dit verder worden verfijnd, zodat afwijkingen met een lage anomaly score geen e-mail trigger veroorzaken. We willen natuurlijk voorkomen dat mensen overspoeld worden met e-mails die valse positieven bevatten.
