Contenu
- Définition - Que signifie détection d'anomalie de comportement du réseau (NBAD)?
- Introduction à Microsoft Azure et au nuage Microsoft | Tout au long de ce guide, vous apprendrez ce qu'est le cloud computing et comment Microsoft Azure peut vous aider à migrer et à exploiter votre entreprise à partir du cloud.
- Techopedia explique la détection des anomalies du comportement de réseau (NBAD)
Définition - Que signifie détection d'anomalie de comportement du réseau (NBAD)?
La détection d'anomalies de comportement de réseau (NBAD) est la surveillance en temps réel d'un réseau pour détecter toute activité, tendance ou événement inhabituel. Les outils de détection d'anomalies du comportement du réseau sont utilisés comme outils de détection des menaces supplémentaires pour surveiller les activités du réseau et générer des alertes générales qui nécessitent souvent une évaluation plus approfondie par l'équipe informatique.
Les systèmes ont la capacité de détecter les menaces et d’arrêter les activités suspectes dans les situations où les logiciels de sécurité traditionnels sont inefficaces. En outre, les outils suggèrent quelles activités ou quels événements suspects nécessitent une analyse plus poussée.
Introduction à Microsoft Azure et au nuage Microsoft | Tout au long de ce guide, vous apprendrez ce qu'est le cloud computing et comment Microsoft Azure peut vous aider à migrer et à exploiter votre entreprise à partir du cloud.
Techopedia explique la détection des anomalies du comportement de réseau (NBAD)
Les outils de détection d'anomalie du comportement du réseau sont utilisés conjointement avec les systèmes de sécurité périmétrique traditionnels, tels que les logiciels antivirus, pour fournir un mécanisme de sécurité supplémentaire. Cependant, contrairement à l'antivirus qui protège le réseau contre les menaces connues, le NBAD vérifie les activités suspectes susceptibles de compromettre le fonctionnement du réseau, en infectant le système ou par le vol de données.
Il surveille le trafic réseau à la recherche d'écarts par rapport au volume attendu d'un paramètre réseau mesuré, tels que l'utilisation des paquets, des octets, des flux et des protocoles. Lorsqu'une activité est suspectée de constituer une menace, les détails de l'événement, y compris l'adresse IP du contrevenant et de la cible, le port, le protocole, l'heure de l'attaque, etc., sont générés.
Les outils utilisent une combinaison de méthodes de détection de signature et d'anomalie pour vérifier toute activité réseau inhabituelle et alerter les responsables de la sécurité et du réseau afin qu'ils puissent analyser l'activité et l'arrêter ou réagir avant qu'une menace n'affecte le système et les données.
Les trois principaux composants de la surveillance du comportement du réseau sont les modèles de flux de trafic, les données de performance du réseau et l'analyse de trafic passif. Cela permet à une organisation de détecter des menaces telles que:
- Comportement réseau inapproprié - Les outils détectent des applications non autorisées, une activité réseau anormale ou des applications utilisant des ports inhabituels. Une fois détecté, le système de protection peut être utilisé pour identifier et désactiver automatiquement le compte d'utilisateur associé à l'activité du réseau.
- Exfiltration de données - Surveille les données de communication sortantes et déclenche une alarme lorsque des quantités de transfert de données suspectes sont détectées. Le système pourrait en outre identifier l'application de destination si elle est basée sur un nuage pour déterminer si elle est légitime ou s'il s'agit d'un vol de données.
- Logiciel malveillant caché - Détecte les logiciels malveillants avancés qui peuvent avoir échappé à la protection de sécurité du périmètre et s'infiltrer dans l'organisation / le réseau d'entreprise.