本篇文章給大家分享的是有關(guān)用NTA實(shí)現(xiàn)惡意行為檢測的工具Awake Security Platform該怎么用，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

創(chuàng)新互聯(lián)從2013年創(chuàng)立，先為西峰等服務(wù)建站，西峰等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為西峰企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

隨著企業(yè)及各類組織機(jī)構(gòu)逐漸將網(wǎng)絡(luò)的使用轉(zhuǎn)向云和遠(yuǎn)程，傳統(tǒng)網(wǎng)絡(luò)的定義在逐漸發(fā)生變化。同樣，物聯(lián)網(wǎng)設(shè)備的使用越來越多，加密和影子系統(tǒng)的使用越來越頻繁，我們也就可以理解，為什么一直以來在保持網(wǎng)絡(luò)和系統(tǒng)安全方面的問題都得不到妥善的解決。

更重要的是，網(wǎng)絡(luò)犯罪分子也在不斷的改變策略：他們越來越依賴惡意軟件，并開始將攻擊目標(biāo)轉(zhuǎn)移到竊取合法憑證上，并通過使用已部署在常規(guī)環(huán)境中的工具生存下來，例如python的腳本、powershell、WMI、PsExec或Microsoft Office的宏命令等。

惡意行為的檢測是一項(xiàng)挑戰(zhàn)，尤其是在其已經(jīng)與合法行為相結(jié)合的情況下，企業(yè)試圖通過傳統(tǒng)的網(wǎng)絡(luò)取證工具（如RSA NetWitness）以及一些網(wǎng)絡(luò)流量分析（NTA）工具（如Darktrace）來解決這些問題。現(xiàn)在，越來越多的服務(wù)需求方開始向二者相結(jié)合的技術(shù)方向發(fā)展，這便是Awake Security出現(xiàn)的原因。

網(wǎng)絡(luò)個(gè)體追蹤

Awake安全平臺(tái)可用于分析通信，無論是傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包，還是vSwitch流量，或者來自云以及針對(duì)SaaS應(yīng)用程序、無服務(wù)計(jì)算實(shí)例的API調(diào)用，均可通過Awake平臺(tái)實(shí)現(xiàn)，同時(shí)它還側(cè)重于安全團(tuán)隊(duì)不可見的運(yùn)營技術(shù)網(wǎng)絡(luò)。

Awake首席執(zhí)行官Rahul Kashyap表示，這個(gè)安全平臺(tái)通過傳統(tǒng)的網(wǎng)絡(luò)SPAN或TAP/云TAP/虛擬交換機(jī)TAP/SaaS API鏈接，以訪問數(shù)據(jù)包、通信等，然后，我們通過對(duì)這些所得數(shù)據(jù)等實(shí)時(shí)分析發(fā)現(xiàn)企業(yè)或組織機(jī)構(gòu)中的“資產(chǎn)”（設(shè)備、用戶、應(yīng)用程序等）以及通信另一方的域來構(gòu)建安全知識(shí)圖（我們將其稱為EntityIQ）。

Awake Security Platform自動(dòng)識(shí)別和追蹤網(wǎng)絡(luò)上的業(yè)務(wù)資產(chǎn)

其針對(duì)網(wǎng)絡(luò)上的個(gè)體的發(fā)現(xiàn)和分析是自主完成的，該平臺(tái)執(zhí)行完整數(shù)據(jù)包和加密流量分析，不依賴（可更改的）IP地址進(jìn)行追蹤。

檢測惡意行為和意圖

一旦對(duì)網(wǎng)絡(luò)目標(biāo)進(jìn)行了分析，該平臺(tái)就會(huì)將行為及其關(guān)系進(jìn)行歸類。然后針對(duì)性的解決方案就會(huì)通過這些個(gè)體的屬性和行為中提取數(shù)百萬個(gè)信號(hào)以及原始通信和網(wǎng)絡(luò)數(shù)據(jù)、威脅情報(bào)和用戶行為分析來檢測新的攻擊者策略。這些信號(hào)將會(huì)交于Awake的神經(jīng)網(wǎng)絡(luò)和機(jī)器學(xué)習(xí)模型分析。在此過程中，該平臺(tái)通過相似性分析對(duì)網(wǎng)絡(luò)個(gè)體進(jìn)行聚類，從而可以更好的發(fā)現(xiàn)表現(xiàn)出惡意意圖的異常數(shù)據(jù)。

這種方法有效的避開了時(shí)間因素、多個(gè)網(wǎng)絡(luò)協(xié)議和流的攻擊者策略，以及技術(shù)和程序（TTP），該公司的研究團(tuán)隊(duì)致力于通過于MITRE ATT和CK框架報(bào)紙一致來確保TTP的廣泛覆蓋。

平臺(tái)成功識(shí)別4個(gè)IP電話，用于提供語音呼叫信息

Kashyap指出，通過對(duì)時(shí)間和每個(gè)個(gè)體行為追蹤的分析，我們可以發(fā)現(xiàn)網(wǎng)絡(luò)中的威脅行為、惡意行為以及已知的各類指標(biāo)。安全團(tuán)隊(duì)還可以自行對(duì)目標(biāo)信息進(jìn)行增補(bǔ)。平臺(tái)會(huì)對(duì)每個(gè)網(wǎng)絡(luò)目標(biāo)提供類似風(fēng)險(xiǎn)評(píng)級(jí)的信用評(píng)分，以及詳細(xì)的行為和時(shí)間戳，向用戶說明高風(fēng)險(xiǎn)的原因。

Awake平臺(tái)根據(jù)風(fēng)險(xiǎn)對(duì)網(wǎng)絡(luò)環(huán)境中的目標(biāo)進(jìn)行評(píng)分

每個(gè)結(jié)果信息都可以通過產(chǎn)品界面進(jìn)行訪問，也可以于企業(yè)或組織的SIEM一起使用，并集成到EDR中?？梢耘c業(yè)務(wù)流程平臺(tái)的集成，可以與防火墻/代理等相連接。

額外功能添加

隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，Awake平臺(tái)也能夠進(jìn)行同步發(fā)展。

與亞馬遜采取的Alexa平臺(tái)方法類似，Awake提供了一個(gè)開放式平臺(tái)，能夠允許用戶通過當(dāng)前可用的方法具體解決新問題，而不是強(qiáng)制使用整個(gè)解決方案來應(yīng)對(duì)最新威脅。

對(duì)此，Kashyap表示，Awake平臺(tái)，分析師可通過一種名為QueryIQ的語言對(duì)其進(jìn)行訪問和其他操作。該語言有一個(gè)詞匯表，可以為平臺(tái)添加新的檢測和響應(yīng)技能。具體而言，Awake允許用戶自行使用這種語言依據(jù)實(shí)際需求對(duì)其進(jìn)行更改。

Awake平臺(tái)可以創(chuàng)建新的檢測功能，以適應(yīng)不斷變化的網(wǎng)絡(luò)威脅

加入一個(gè)普通的網(wǎng)絡(luò)攻擊者正在使用powershell這種工具連接到類似Twitter這樣的已知網(wǎng)站，那么便可以通過“命令和控制—檢測這種行為”這樣簡單的方式對(duì)其進(jìn)行檢測，非常易于操作，甚至不需要專門耗時(shí)去處理。同樣，當(dāng)一個(gè)客戶在使用這個(gè)平臺(tái)的時(shí)候，如果他擔(dān)心他們的員工會(huì)遭到釣魚欺騙，那么就可以構(gòu)建一種檢測機(jī)制來發(fā)現(xiàn)那些虛假的網(wǎng)站或郵箱賬號(hào)。

任何Awake平臺(tái)的使用者都可以訪問針對(duì)域名的攻擊信息

簡而言之，Awake Security Platform的出現(xiàn)，使得其公司成為了先進(jìn)的網(wǎng)絡(luò)流量分析（NTA）解決方案的提供者，可廣泛用于各類安全工作者、威脅獵手以及CSO們。 

以上就是用NTA實(shí)現(xiàn)惡意行為檢測的工具Awake Security Platform該怎么用，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。