Сообщить об инциденте
Сообщить об инциденте
Главная
AML Web Protection

AML Web Protection

Защита веб-ресурсов от компьютерных атак
Запросить «пилот»

Описание

AML Web ProtectionAML Web Protection — это система выявления и предупреждения атак на веб-ресурсы. Она использует логи (журналы) веб-сервера для поведенческого анализа пользовательских запросов и выявления среди них атакующих сессий.

Задача AML — защитить внутренние и внешние веб-ресурсы организации от компьютерных атак.

Продукт не анализирует содержимое сетевого трафика, а работает напрямую с журналами веб-сервера. С помощью алгоритмов поведенческого анализа система выявляет атакующие действия по записям журнала и синхронизируется с веб-сервером для блокировки вредоносной активности.

Преимущества

Работа с «сырыми» журналами веб-сервера

Поведенческий анализ для выявления атакующих сессий на основе логов

Активное реагирование и защита

Выявление атак нулевого дня, блокирование атакующих сессий, поддержка белых списков

Использование встроенных инструментов

Применение нативных средств сервера без установки дополнительных программ, модулей, утилит

Усиление эшелонированной защиты

Эффективное дополнение применяемых СЗИ и усиление защиты в сочетании с WAF, IDS, SIEM

Несколько режимов работы

Разовая обработка журналов или постоянный мониторинг веб-сервера

Прозрачная аналитика и детализация

Детализированная информация по каждой сессии, статистические дашборды и отчёты

Принцип работы

Конечная цель AML — выявить компьютерную атаку и заблокировать нарушителя. Для корректной работы AML использует «сырые» записи журналов без какой-либо предварительной обработки.
7

Детальная статистика

Пользователь видит итоговую статистику по атакующим и пользовательским сессиям с возможностью посмотреть детали: характеристики сессии, запросы и другие параметры
6

Блокировка атаки

Если атакующей сессии присваивается высокий или критический риск, система посылает запрос на веб-сервер для блокировки нарушителя
5

Оценка риска

Система для атакующей сессии автоматически вычисляет уровень риска для атаки
4

Классификация сессий

Система анализирует каждую сессию с помощью специальной модели и классифицирует эту сессию как «атакующую» или «пользовательскую»
3

Анализ логов

Система анализирует предоставленный журнал и разбивает его на сессии
2

Выбор журнала

Пользователь в веб-интерфейсе AML указывает журнал веб-ресурса, который нужно анализировать на наличие компьютерных атак
1

Подключение

Пользователь в веб-интерфейсе AML подключает защищаемый веб-ресурс

Режимы работы

   Принцип работы Результат  Когда полезен 
Пакетный режим Пользователь загружает журнал веб-ресурса вручную. Система анализирует этот файл и выдаёт результат. Пользователь получает детализированную статистику по конкретному загруженному журналу.
— Для разовых проверок журналов

— Для сравнительного анализа

— При подключении нового ресурса

— Для ретроспективного анализа без ограничений по давности логов
Потоковый режим Пользователь указывает файл журнала, в котором система автоматически отслеживает изменения и анализирует их «в потоке». Система разделяет записи журнала на сессии и определяет тип сессий: атакующий или пользовательский. При появлении новых записей в журнале система дополняет уже существующие сессии или формирует новые, а затем пересчитывает оценку типа сессий.  Пользователь отслеживает состояние веб-ресурса «на лету» и может в динамике видеть появление атакующих сессий, их видоизменение, расширение и завершение.  Для постоянного мониторинга веб-ресурса и его защиты в режиме 24/7