Сообщить об инциденте
Сообщить об инциденте
Главная
Продукты
AML Web Protection

AML Web Protection

AML Web Protection

«AML Web Protection» – система выявления и предупреждения атак на веб-ресурсы. Она использует логи (журналы) веб-сервера для поведенческого анализа пользовательских запросов и выявления среди них атакующих сессий


Задача AML — защитить внутренние и внешние веб-ресурсы организации от компьютерных атак


Продукт не анализирует содержимое сетевого трафика, а работает напрямую с журналами веб-сервера. С помощью алгоритмов поведенческого анализа система выявляет атакующие действия по записям журнала и синхронизируется с веб-сервером для блокировки вредоносной активности


Преимущества AML

  • Внедрение AML не нарушает бизнес-процессы — продукт ставится «сбоку», а не «в разрыв» (то есть внутри сегмента сети, а не на границе между внешней сетью и веб-ресурсом)

  • Анализ внешних и внутренних ресурсов проводится на одном экземпляре AML

  • AML легко интегрировать — достаточно настроить синхронизацию журнала между веб-сервером и сервером AML

  • Использует нативные инструменты веб-сервера — не требуется установка дополнительных программ, модулей или утилит

  • Поддерживает все популярные веб-серверы — Apache, NGINX и другие

  • AML не конфликтует с другими инструментами защиты — его можно использовать в сочетании с WAF, IDS, SIEM иными классами решений

  • Позволяет выявлять атаки нулевого дня

  • Можно гибко настраивать параметры работы продукта для адаптации под свой веб-ресурс


Возможности AML

  • Разовая обработка журнала («пакетный режим») и постоянный мониторинг веб-ресурса («потоковый режим»)

  • Создание белых списков из IP и User-Agent

  • Автоматическая отправка команды на веб-сервер о блокировке нарушителей по IP и User-Agent

  • Подтверждение или опровержение результата работы модели — это учитывается в итоговой статистике

  • Просмотр детализированной информации по каждой сессии — можно самостоятельно убедиться в правильности оценки типа сессии и её риска

  • Использование принципа виртуального патчинга для атакуемых компонентов веб-ресурса

  • Просмотр статистических дашбордов и отчётов


Принцип работы AML

1. Пользователь в веб-интерфейсе AML подключает защищаемый веб-ресурс

2. Пользователь в веб-интерфейсе AML указывает журнал веб-ресурса, который нужно анализировать на наличие компьютерных атак

3. Система анализирует предоставленный журнал и разбивает его на сессии

4. Система анализирует каждую сессию с помощью специальной модели и классифицирует эту сессию как «атакующую» или «пользовательскую»

5. Система для атакующей сессии автоматически вычисляет уровень риска для атаки

6. Если атакующей сессии присваивается высокий или критический риск, система посылает запрос на веб-сервер для блокировки нарушителя

7. Пользователь видит итоговую статистику по атакующим и пользовательским сессиям с возможностью посмотреть детали: характеристики сессии, запросы и другие параметры


Режимы работы AML

AML обрабатывает журналы веб-серверов в двух режимах: пакетном и потоковом

Принцип работы

Результат

Когда полезен

Пакетный режим

  • Пользователь загружает журнал веб-ресурса вручную

  • Система анализирует этот файл и выдаёт результат

Пользователь получает детализированную статистику по конкретному загруженному журналу.

  • Для разовых проверок журналов

  • Для сравнительного анализа

  • При подключении нового ресурса

  • Для ретроспективного анализа (без ограничений по давности логов)

Потоковый режим

Пользователь выбирает журнал, в котором система автоматически отслеживает изменения, анализирует их «в потоке» и определяет атакующие и пользовательские сессии

Пользователь отслеживает состояние веб-ресурса «на лету» и может в динамике видеть появление атакующих сессий, их видоизменение, расширение и завершение

Для постоянного мониторинга веб- ресурса и его защиты в режиме 24/7


Инструкция по установке


Инструкция по эксплуатации


Функциональные характеристики


Жизненный цикл