DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Analyse des Benutzerverhaltens mit Maschinellem Lernen

Analyse des Benutzerverhaltens mit Maschinellem Lernen

Einführung

Im Jahr 2023 entdeckte der DBIR-Bericht, dass 86 % der Web-Verstöße aufgrund gestohlener Anmeldeinformationen auftraten. Da die Verhinderung von Angriffen ein wesentlicher Aspekt der gesamten Sicherheitsmaßnahmen bleibt, bietet DataSunrise verbesserte Mechanismen zur Überwachung verdächtigen Verhaltens von Datenbanknutzern.

Datenbanken zeigen oft kompromittierte Benutzeranmeldungen oder infizierte Systeme durch Versuche, Berechtigungen zu erhöhen oder auf verschiedene Datenbanken oder Schemata wie ‘pg_catalog’ zuzugreifen. Eine häufige Situation tritt auf, wenn ein Benutzer versucht, von einer unbekannten IP-Adresse auf die Datenbank zuzugreifen. Dies deutet häufig auf verdächtige Aktivitäten hin, möglicherweise aufgrund kompromittierter Benutzeranmeldungen.

Die DataSunrise Aufgabe „Verdächtiges Benutzerverhalten“ nutzt Maschinelles Lernen (ML)-Tools, um Benutzerverhalten zu überwachen und verdächtige Fälle effektiv zu behandeln. Ihr Ansatz des maschinellen Lernens ermöglicht eine flexible Einrichtung des Tools, ohne dass manuell Erlaubte IP-Sets oder erlaubte Datenbanken und Schemata für bestimmte Benutzer konfiguriert werden müssen. Dies eliminiert die Notwendigkeit, IP-Adressen oder Datenbanken manuell präzise einzurichten.

Datenbankaktivitätsprüfung

Bevor wir über die Überwachung des Verhaltens sprechen, sollten wir darauf hinweisen, wie wir die ML-Trainingsdaten sammeln. DataSunrise verfügt über ein Tool namens Audit, das Aktivitäten protokolliert. Sie können die Protokolle unter AuditTransaktionale Trails finden.

Die DataSunrise-Audit-Protokolle dienen dazu, das typische Verhalten von Datenbankbenutzern zu verfolgen und können auch dazu beitragen, verdächtige Aktivitäten zu überwachen.

Die gesammelten Daten sind textbasiert und oft zu umfangreich, um sie ohne spezifische Datenanalysetools zu analysieren. DataSunrise bietet alles, was Sie benötigen, um große Datenmengen zu verarbeiten und Schlussfolgerungen aus den bereitgestellten Einblicken zu ziehen.

Um eine Aufgabe „Verdächtiges Benutzerverhalten“ zu erstellen, benötigen Sie die richtigen Trainingsdaten aus den Transaktionalen Trails. Außerdem müssen Sie die Verhaltensanalyseaufgabe innerhalb des richtigen Zeitraums ausführen.

Während des ersten Durchlaufs trainiert die Aufgabe das statistische Modell. Spätere Durchläufe beinhalten die Analyse der Transaktionalen Trails vom Ende des Trainingsbereichs bis zum Ende der Transaktionalen Trails.

ML-Tools zur Überwachung des Benutzerverhaltens: Fallstudie

Das Szenario ist wie folgt: Das Unternehmen nutzt eine webbasiertes eine Anwendung mit einer Datenbank zur Verwaltung von Kundendaten. Das Unternehmen wird regelmäßig entweder manuell oder stündlich nach ungewöhnlichen Aktivitäten in den Datenbanktabellen suchen.

Es gibt drei Hauptschritte zur Implementierung der Benutzerverhaltensanalyse-Aufgabe:

Schritt 1: Erstellen Sie eine Audit-Regel, um Abfragen über den Proxy-Port zur Ressourcendatenbank zu überwachen. Finden Sie eine geeignete Trainingszeitspanne basierend auf den Transaktionalen Trails der aktiven Regeln. Dies ist ein Vorbereitungs Schritt, der benötigt wird, um das Trainingsdaten Set bereitzustellen.

In einem typischen DataSunrise-Setup gibt es mehrere Audit-Regeln und umfangreiche Transaktionale Trails-Protokolle. So kann der Benutzer überprüfen, dass die Transaktionalen Trails für den ausgewählten Zeitraum nur genehmigte Benutzeraktivitäten zeigen.

Schritt 2: Erstellen Sie eine Benutzerverhaltensaufgabe mit einer geeigneten Trainingszeitspanne. Richten Sie die Aufgabe so ein, dass sie das erste Mal ausgeführt wird, um das statistische Modell zu trainieren.

Schritt 3: Führen Sie einige ungewöhnliche Aktivitäten mit Tools von Drittanbietern wie ‘psql’ oder ‘DBeaver’ aus. Führen Sie dann die Aufgabe erneut manuell zur Analyse aus. Dies stellt sicher, dass die Regel ordnungsgemäß funktioniert.

Abbildung 1 – Fallstudien-Setup. Sowohl der Host für normales Verhalten als auch der Host für Malware-Aktivitäten verbinden sich mit dem DataSunrise (Firewall)-Host.

Der Host für normales Verhalten (auf der linken Seite des Bildes) enthält eine Webanwendung. Dieser Host dient typischerweise als Serverinstanz, die über den Firewall-Host (in der Mitte) mit der Datenbank verbunden ist. Wir haben DataSunrise auf dem Firewall-Host installiert, und seine Transaktionalen Trails zeichnen die Datenbankverbindungen über den DataSunrise-Proxy-Port 5432 auf.

Schritt 1: Auditregel für reguläre Aktionen

Um eine Auditregel zu erstellen, gehen Sie zuerst zur webbasierten Benutzeroberfläche von DataSunrise. Klicken Sie dann auf Audit, dann auf Regeln. Klicken Sie schließlich auf +Regel hinzufügen, wenn sie noch nicht vorhanden ist.

Sie sollten AuditObject in SystemeinstellungenZusätzliche Parameter aktivieren. Die Auditregel sollte nur genehmigte Benutzeraktionen zur Ausbildung überwachen. Benutzer können diese später in den Transaktionalen Trails überprüfen.

Aktivieren Sie die Regel, die Sie gerade erstellt haben. Die Anfragen an die Datenbank sollten in den Ereignissen der Regel erscheinen. Während dieses Schrittes analysieren wir die Transaktionalen Trails und wählen den Zeitraum normaler Aktivitätsereignisse aus, der für die Schulung des verdächtigen Benutzerverhaltens verwendet werden soll.

Schritt 2: Aufgabe für Verdächtiges Benutzerverhalten

Da wir nun sichergestellt haben, dass die Trainingsdaten vorhanden sind und die Trainingszeitspanne ausgewählt wurde, ist es an der Zeit, eine Erkennungsaufgabe für verdächtiges Benutzerverhalten zu erstellen. Gehen Sie dazu zu KonfigurationPeriodische Aufgaben+Neue Aufgabe.

Wählen Sie aus der Liste der Aufgabentypen Verdächtiges Benutzerverhaltenserkennung aus. Die einzige hier erforderliche Einstellung besteht darin, die Spanne der Trainingsdatensatz-Ereignisse zu definieren. Darüber hinaus gibt es eine Startfrequenzoption für die Aufgabe, aber in unserem Fall, in dem wir die Aufgabe bei Bedarf manuell ausführen, können wir die Frequenz auf dem Standardwert (Stündlich) belassen.

Nachfolgend ist die Einrichtung für die Zeitspanne der neuen Aufgabe für verdächtiges Benutzerverhalten dargestellt.

Abbildung 2 – Setup für die Aufgabe „Verdächtiges Benutzerverhalten“ (abgekürzt).

Wir definieren die Zeitspanne, in der nur erlaubte Aktivitäten auf allen Proxys der Datenbankinstanz auftreten. Diese Aktivitäten sind die erlaubten, und wir haben den ersten und letzten Ereigniszeiten während der Analyse in Schritt 1 ausgewählt.

Um das Training des statistischen Modells der Aufgabe zu initiieren, speichern Sie die Einstellungen. Diese Aktion leitet Sie zur Sektion der Periodischen Aufgaben weiter. Navigieren Sie zurück zur Verdächtigen-Benutzerverhaltensaufgabe, indem Sie auf deren Namen in der Liste klicken. Drücken Sie dann auf ‘Run‘, um die Aufgabe auszuführen und ihren Status zu überprüfen.

Es sollten keine Fehler auftreten. Während des ersten Laufs der Aufgabe werden keine verdächtigen Aktivitäten erkannt, da sie sich ausschließlich auf das Training des Modells konzentriert. Während des Aufgabenlaufs kann der Benutzer den Fortschritt des Trainings im Statusmeldungsdialog des Task-Fensters überwachen.

Abbildung 3 – Erster Lauf der Aufgabe „Verdächtiges Benutzerverhalten“. Der Status „Aufgabe erfolgreich abgeschlossen“ ist wichtig für die weitere Aktivitätsanalyse

Dies schließt Schritt 2 ab. Wir haben jetzt das trainierte Netzwerk innerhalb der Aufgabe „Verdächtiges Benutzerverhalten“ und können tatsächlich zur Erkennung von verdächtigem Verhalten übergehen.

Schritt 3: Verdächtige Aktivität und Analyse

Verdächtige Aktivitäten in unserem Fall umfassen Abfragen von unerwarteten IP-Adressen (Malware-Host), die alle Felder des ‘pg_catalog.pg_enum’ zugreifen.

Um sich über die verdächtige IP-Adresse des Malware-Hosts mit der willkürlichen Datenbank zu verbinden, wurde der Befehl ‘psql’ von diesem Host aus verwendet:

/usr/pgsql-13/bin/psql -h 192.168.10.104 -p 5432 -U ubuser01 -d ubdb02 ubdb02=# select * from pg_catalog.pg_enum

Als Ergebnis erscheint eine einzelne Sitzungswarnung in den Ergebnissen der Aufgabe „Verdächtiges Benutzerverhalten“:

Abbildung 4 – DataSunrise-Berichte über die erste verdächtige Aktivität. Das Bild zeigt die resultierende Warnung aus dem zweiten Lauf der Aufgabe „Verdächtiges Benutzerverhalten“. Die Sitzung wurde bereits als „Verdächtig“ vom Benutzer markiert.

Bitte beachten Sie, dass, wenn sich der Benutzer des Malware-Hosts über Proxy mit Software wie DBeaver oder anderer UI-basierter Datenbank-Managersoftware verbindet, auch dies Warnungen auslösen wird. DBeaver prüft die Datenbankstruktur automatisch. Es führt Anfragen zu Tabellen und Schemata aus, die nicht in den Trainingsdaten vorhanden sind. Dadurch kann das System unerwartete Aktivitäten als Ergebnis markieren.

Abbildung 5 – Die Ergebnisse der Aufgabe „Verdächtiges Benutzerverhalten“ für die DBeaver-Verbindung von der Host-Maschine.

In diesem Szenario wurden zweimal Datenbankanforderungen über den DataSunrise-Proxy vom Host der normalen Webanwendung aus gemacht. Anschließend wurde eine Verbindung zur Datenbank unter Verwendung von DBeaver von einer vertrauenswürdigen IP-Adresse aus hergestellt. DBeaver führte jedoch Anfragen an ungewöhnliche Tabellen und Schemata (pg_catalog) durch. Daher haben wir diese Sitzungen als verdächtigt markiert.

Die Aufgabe „Verdächtiges Benutzerverhalten“ kann Warnmeldungen für alle Proxys des Instanzdatenbank-Auditregel-Datenbank erstellen, oder für Regeln und Instanzen, wenn es viele gibt. Wichtig ist zu beachten, dass im Ergebnis (obiges Bild) die Datenbank-Portnummer den Port des Datenbankservers darstellt, der in der Instanzeinrichtung für die geschützte Datenbankverbindung festgelegt ist. Dies ist nicht der Proxy-Port dieser Instanz.

Um zu überprüfen, ob alle Instanz-Proxys verdächtige Verhaltenswarnungen generieren, sollten Benutzer verdächtige Anfragen an alle Proxy-Ports richten, sicherstellen, dass sie geprüft werden, und die Aufgabe „Verdächtiges Benutzerverhalten“ erneut ausführen. Klicken Sie dann auf das Aktualisierungssymbol in der Ergebnisauflistung der Aufgabe. Wenn neue Abfragen erscheinen, klicken Sie auf die Sitzungs-ID, um die Proxy-Portnummer zu finden.

Alle Abfragen und die betroffenen Zeilen sind in den Sitzungsdetails verfügbar, wenn im Ergebnistabelle der Aufgabe darauf geklickt wird. Bitte beachten Sie nachfolgende Abbildung für mehr Details.

Abbildung 6 – ML-Tools zur Überwachung des Benutzerverhaltens: verdächtige Sitzung, die durch DBeaver generiert wurde. Bitte beachten Sie wir Listen alle Abfragen auf und geben die Proxy-IP und Portnummer als 0.0.0.0:5433 an.

Ergebnis der Fallstudie

Wir können verdächtige Sitzungen identifizieren, indem wir ungewöhnliche Abfrage Parameter wie IP-Adressen oder Datenbanknamen untersuchen. Diese Parameter weichen von der typischen Aktivität ab, die während des Trainings in der Aufgabe „Verdächtiges Benutzerverhalten“ gesehen wird.

Die Haupt conclusions aus dem Testfall sind folgende:

  • Das statistische Modell konzentriert sich auf die Analyse von IP-Adressen, Tabellen, Schemata usw., innerhalb von Abfragen. Es berücksichtigt nicht den Inhalt der Abfragen selbst. Zum Beispiel wird das statistische Modell, das auf einfachen SELECT-Abfragen trainiert wurde, komplexe SELECT-Anfragen oder „SELECT alle“ Abfragen derselben Tabelle nicht als verdächtig einstufen. Dies geschieht, weil sie von geeigneten IP-Adressen stammen und an ungewöhnliche Datenbanken gerichtet sind.
  • Die Instanzen der Auditregel bestimmen die potenziellen Proxies zum Markieren eingehender Sitzungen als verdächtig. Es ist wichtig, dass das Trainingsdatenset alle plausiblen regulären Sitzungen für alle Proxies abdeckt. Unbekannte Proxy-Sitzungen werden als verdächtig markiert.
  • Es ist keine spezifische Konfiguration erforderlich, um die Aufgabe „Verdächtiges Benutzerverhalten“ auf einer bestimmten Auditregel zu trainieren. Alle Transaktionsdatensätze im Audit-Trainings Set werden verwendet, um das Netzwerk zu lehren. Diese Datensätze helfen auch dabei, neue Ereignisse zu identifizieren und zur User Suspicious Behavior Task für weitere Analysen zu senden.

Fehlerbehebung

Hier sind einige zu beachtende Punkte:

  • Verwenden Sie JVMChecker, um zu überprüfen, ob Java ordnungsgemäß funktioniert (befindet sich unter /opt/datasunrise/bin).
  • Verwenden Sie Benutzerverhaltensprotokolle, um zu analysieren, ob die Ausführung der Aufgabe Fehlernachrichten erzeugt hat. Die Aufgabe „Verdächtiges Benutzerverhalten“ hat eine Protokolldatei für Fehlernachrichten. Sie finden es unter System Einstellungen unter Protokollierung & Logs, dann Log-Typ und schließlich Benutzer verhaltens erkennung verdächtiges.
  • Denken Sie daran, die erweiterte Eigenschaft ‘Auditobjekte’ zu aktivieren, da die Benutzerverhaltensaufgabe zum ersten Mal ausgeführt wird.
  • Verstehen Sie Ihre Daten. Der Trainingsprozess erfordert eine relativ große Menge an daten in den Audit-Protokollen. Das Analysieren, des Textteils der SQL-Anfragen ist wichtig zu beachten. Das bedeutet, es gibt keinen Alarm für ungewöhnliche Tabellen oder Spalten in einer SELECT-Anfrage, wenn diese an die richtige Datenbank gesendet wurden, von der richtigen IP und dem richtigen Benutzer und Anwendung gesendet wurden.
  • Stellen Sie sicher, dass die Auditlog-Überprüfungen, die erste mal der Benutzerverhaltens-task liste auf whitelisted list nur erscheinen. Bei Bedarf kann der Benutzer die Benutzerverhaltens-Task einfach neu erstellen und, das statistische Modell neu trainieren.

Schlussfolgerung

Die ML-basierte Aufgabe „Verdächtiges Benutzerverhalten“ hilft, den Datenzugriff durch das automatisches Setzen von Regeln für verschiedene Benutzer zu überwachen. Dies spart Zeit und Aufwand, insbesondere bei großen Datensätzen. Die DataSunrise-Datenbankfirewall nutzt ML-Tools effektiv zur Überwachung des Benutzerverhaltens. Trotz der zugrunde liegenden Komplexität der beteiligten Prozesse bietet die webbasierte Benutzeroberfläche eine benutzerfreundliche Oberfläche zur Einrichtung von Aufgaben und zur Analyse eingehender Sitzungen.

Die Aufgabe „Verdächtiges Benutzerverhalten“ ermöglicht es Ihnen, die DataSunrise-Transaktionstrails auf jede ungewöhnliche Aktivität von aktuellen Benutzern zu scannen. Dies kann Ihnen helfen, potenzielle Sicherheitsverletzungen zu identifizieren. Sie können diesen Scan regelmäßig oder manuell durchführen. Dieses Tool lässt Benutzer Sitzungen als verdächtig oder normal markieren und kleine Änderungen vornehmen, um die Benutzeroberfläche zu vereinfachen.

In diesem Artikel haben wir kurz die Einrichtung der Aufgabe „Verdächtiges Benutzerverhalten“ besprochen. Bitte zögern Sie nicht, unsere Webseite zu besuchen und eine Online-Demo anzufordern, um weitere Diskussionen über die DataSunrise-Datenbanksicherheitslösungen zu führen.

Nächste

Über Ihre Datenbankstruktur und Verwendung von Tabellenbeziehungen

Über Ihre Datenbankstruktur und Verwendung von Tabellenbeziehungen

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]