Сообщить об инциденте
Сообщить об инциденте
Главная
AML Web Protection

AML Web Protection

Защита веб-ресурсов от компьютерных атак
Запросить «пилот»

Описание

AML Web ProtectionAML Web Protection — это система выявления и предупреждения атак на веб-ресурсы. Она использует логи (журналы) веб-сервера для поведенческого анализа пользовательских запросов и выявления среди них атакующих сессий.

Задача AML — защитить внутренние и внешние веб-ресурсы организации от компьютерных атак.

Продукт не анализирует содержимое сетевого трафика, а работает напрямую с журналами веб-сервера. С помощью алгоритмов поведенческого анализа система выявляет атакующие действия по записям журнала и синхронизируется с веб-сервером для блокировки вредоносной активности.

Преимущества

Работает как WAF, но по-другому

Поведенческий анализ для выявления атакующих сессий на основе логов

Активное реагирование и защита

Выявление атак нулевого дня, блокирование атакующих сессий, поддержка белых списков

Использование встроенных инструментов

Применяются нативные средства сервера без установки дополнительных программ, модулей, утилит

Дополняет эшелонированную защиту

Не конфликтует с другими СЗИ, а усиливает защиту в сочетании с WAF, IDS, SIEM

Несколько режимов работы

Разовая обработка журналов или постоянный мониторинг веб-сервера

Прозрачная аналитика и детализация

Детализированная информация по каждой сессии, статистические дашборды и отчёты

Принцип работы

Конечная цель AML — выявить компьютерную атаку и заблокировать нарушителя. Для корректной работы AML использует «сырые» записи журналов без какой-либо предварительной обработки.
7

Детальная статистика

Пользователь видит итоговую статистику по атакующим и пользовательским сессиям с возможностью посмотреть детали: характеристики сессии, запросы и другие параметры
6

Блокировка атаки

Если атакующей сессии присваивается высокий или критический риск, система посылает запрос на веб-сервер для блокировки нарушителя
5

Оценка риска

Система для атакующей сессии автоматически вычисляет уровень риска для атаки
4

Классификация сессий

Система анализирует каждую сессию с помощью специальной модели и классифицирует эту сессию как «атакующую» или «пользовательскую»
3

Анализ логов

Система анализирует предоставленный журнал и разбивает его на сессии
2

Выбор журнала

Пользователь в веб-интерфейсе AML указывает журнал веб-ресурса, который нужно анализировать на наличие компьютерных атак
1

Подключение

Пользователь в веб-интерфейсе AML подключает защищаемый веб-ресурс

Режимы работы

   Принцип работы Результат  Когда полезен 
Пакетный режим Пользователь загружает журнал веб-ресурса вручную. Система анализирует этот файл и выдаёт результат. Пользователь получает детализированную статистику по конкретному загруженному журналу.
— Для разовых проверок журналов

— Для сравнительного анализа

— При подключении нового ресурса

— Для ретроспективного анализа без ограничений по давности логов
Потоковый режим Пользователь указывает файл журнала, в котором система автоматически отслеживает изменения и анализирует их «в потоке». Система разделяет записи журнала на сессии и определяет тип сессий: атакующий или пользовательский. При появлении новых записей в журнале система дополняет уже существующие сессии или формирует новые, а затем пересчитывает оценку типа сессий.  Пользователь отслеживает состояние веб-ресурса «на лету» и может в динамике видеть появление атакующих сессий, их видоизменение, расширение и завершение.  Для постоянного мониторинга веб-ресурса и его защиты в режиме 24/7