Wartości odstające
Guardium Insights używa wartości Outliers do automatycznego identyfikowania nieprawidłowego działania serwera i użytkownika, co zapewnia wczesne wykrywanie możliwych ataków.
Funkcja Outliers wyszukuje anomalie w działaniu na bazie danych lub przez użytkownika bazy danych. Bada to działanie w określonym czasie i buduje model statystyczny w oparciu o te obserwacje. Następnie flagi odchyleń w modelu statystycznym w celu określenia potencjalnego ryzyka. Te odchylenia są nazywane odstaniami. Są one oparte na nieprawidłowościach w typie wykonywanej aktywności, czasie działania, źródle działania lub kombinacji. Na przykład wartość odstająca może być nazwą użytkownika, który zwykle wysyła zapytania do bazy danych 10 razy dziennie, a jeden dzień wysyła zapytania do bazy danych 1000 razy.
W tych przykładach lub w innych przypadkach jest to odchylenie aktywności, które tworzy wartości odstających. W ten sposób funkcja Outliers może wskazywać na naruszenie bezpieczeństwa, nawet jeśli same działania nie naruszają bezpośrednio istniejącej strategii bezpieczeństwa. W związku z tym może być cennym narzędziem w identyfikacji niebezpieczeństwa w działaniach, które nie są z natury niebezpieczne niezależnie, że standardowe zabezpieczenia mogą przeoczyć.
Na przykład, jeśli mechanizm Outliers ostrzega użytkownika o dużej objętości nieudanych logowań lub wyjątków, alerty te mogą wskazywać na ataki siłowe lub wstrzyknięcia SQL. Być może od niezadowolonego pracownika lub hacked konta użytkownika, który robi złe zmiany lub wydobycia wiele danych.
Należy pamiętać, że nie wszystkie wartości odrzutowe oznaczane przez silnik Outliers wskazują na potencjalny atak. Niektóre nieprawidłowe działania są łagodne, ale silnik Outliers jednak je flaguje. Takie jak w przypadku, gdy użytkownik lub aplikacja wykonuje prace konserwacyjne.
Model statystyczny, na którym opiera się wartości Outliers, wymaga najpierw początkowego okresu uczenia się, aby zbudować siebie. Domyślny przedział czasu dla początkowego okresu uczenia się wynosi 7 dni, ale można go zmienić w ustawieniach. Po zakończeniu okresu uczenia się model statystyczny wykonuje iterację obliczeń co godzinę i stale aktualizuje się w oparciu o te obliczenia godzinowe.
Przykłady działań użytkowników, które mogą zostać wykryte jako wartości odstających:
- Gdy użytkownik uzyskuje dostęp do tabeli po raz pierwszy.
- Gdy użytkownik wybierze konkretne dane w tabeli, które nigdy wcześniej nie zostały wybrane.
- Wyjątkowa objętość błędów. Na przykład aplikacja generuje więcej błędów SQL, niż miało to miejsce w przeszłości. Ten wolumin może wskazywać, że trwa atak wstrzykiwania SQL.
- Aktywność sama w sobie jest niewyjątkowa, ale jej objętość jest nietypowa.
- Aktywność sama w sobie jest niewyjątkowa, ale czas aktywności jest niezwykły. Na przykład administrator bazy danych uzyskuje dostęp do konkretnej tabeli częściej niż w przeszłości. Ta częstotliwość może wskazywać, że administrator DBA może powoli pobierać niewielkie ilości danych w czasie.
Przykład działań bazy danych, które mogą zostać wykryte jako wartości Outliers:
- Wyjątkowa wielkość błędów
- Aktywność sama w sobie jest niewyjątkowa, ale jej objętość jest nietypowa.
- Aktywność sama w sobie jest niewyjątkowa, ale czas aktywności jest niezwykły.
- Czasowniki (komendy)
- Działania, które mogą wskazywać podejrzane zamiar.
- Obiekty
- Obiekty, w których wykonywane były działania.
- Czasowniki + obiekty
- Na przykład, gdy użytkownik dokonuje pewnych wyborów w określonej tabeli.
- Twórca
- Program źródłowy używany do połączenia. Na przykład: użytkownik, który zwykle łączy się z bazą danych MySQL połączonym z innym klientem.
- Połączenie
- Adres IP klienta
Gdy mechanizm Outliers wyszukuje wartości odstających między tymi elementami, dzieli je na jeden lub więcej spośród następujących sześciu typów wartości odstających:
- Duża liczba działań
- Duża ilość działań znacznie przeszła od normy, którą obserwował model statystyczny dla zachowania użytkowników i baz danych.
- Wyjątki
- Duża liczba wyjątków lub typów błędów.
- Nowe
- Duża ilość nowego działania.
- Działania zagrożone
- Duży wolumen aktywności na grupach obiektów, które Guardium uważa za podatne (można skonfigurować to, co uważane jest za wrażliwe w ustawieniach).
- Różnorodne działania
- Duża ilość różnorodnych działań. W celu wyjaśnienia, jest to duża różnorodność działań, a nie duża ilość działań, które charakteryzują ten typ wartości odstających.
- W toku
- Do każdej wartości odstającej jest przypisywany wynik godzinowy. Jeśli określony wynik wartości odstających jest zbliżany do progu przez kilka godzin od razu, ale nie do końca przekazuje wartość progową, ta wartość odstająca jest typu trwającego. Ten typ wartości odstających istnieje w celu wykrycia aktywności, która próbuje ukryć się pod radarem.
Za każdą godzinę, jeśli mechanizm Outliers rzeczywiście znalazł wartości odstające, funkcja Outliers wyświetla listę typów wartości odstających, które zostały znalezione w raporcie podsumowania wartości odstających. Każdy wiersz, w którym znajduje się lista wartości odstających w raporcie podsumowania, jest powiązany z jednym lub wieloma wierszami w raporcie Szczegóły wartości odstających. Raport Szczegóły wartości odstających służy do przechodzenia do szczegółów podejrzanych działań wymienionych w raporcie podsumowania Outliers.
Wartości Outliers, które są identyfikowane i wyświetlane na stronie raportów, służą również jako dane wejściowe dla składnika Zdarzenia ryzyka. W przypadku zdarzeń ryzyka użytkownik może zdecydować, czy tylko wyświetlić dane wejściowe na stronie Raporty , czy też podjąć dalsze działania w interfejsie użytkownika zdarzeń ryzyka.
W poniższej tabeli przedstawiono przykłady przypadków użycia, które mogą być wyświetlane w raportach lub zdarzeniach ryzyka, z których każde zakotwiczone jest w jednym z typów wartości Outliers. Zapoznaj się z tabelą przypadków użycia, aby zrozumieć rodzaje ryzyka, które mogą wskazywać wartości Outliers wymienione w podsumowaniu i raportach szczegółów.
Przypadek użycia | Typ wartości odstających | Szczegóły |
Nadmierna ekstrakcja danych | Duży wolumen | Czasownik = select |
Nadmierna modyfikacja danych (dml) | Duży wolumen | Verb = wstawienie lub aktualizacja |
Dostęp z nowego połączenia | Nowe |
Program źródłowy (nowa aplikacja) Nowy użytkownik systemu operacyjnego Nowy adres IP klienta |
Nadmierna aktywność z połączenia | Duży wolumen | Program źródłowy (nowa aplikacja) Użytkownik systemu operacyjnego Adres IP klienta |
Nieprawidłowa liczba błędów | Błąd | Czasownik = działanie, które spowodowało błąd. |
Nieprawidłowy typ operacji SQL | Nowe | Komenda SQL nie została uruchomiona przed i została uruchomiona |
Nieprawidłowe godziny pracy | Wysoka objętość, Nowy, Diverse | Komenda |
Nadmierne uprawnienia nadane przez użytkownika | Duży wolumen | Czasownik = grant |
Manipulacja schematami | Wysoka objętość, Nowa | Czasownik = kropla elementów schematu (funkcja, pakiet, tabela, widok i inne) |
Duża liczba różnych (unikalnych) typów działań | Różnorodne | Komenda |
Dane wartości odstających pochodzą z Guardium ® Data Protection, Guardium Insightslub obu tych elementów. Informacje na temat opcji strumieni danych można przeczytać w temacie flagi opcji.