У нас есть оповещения системы безопасности от Azure ATP и MCAS (Microsoft Cloud App Security) , настроенных в нашей среде. Мы получаем предупреждения о незнакомых входах, невозможных путешествиях и нетипичных поездках. Насколько я понимаю:
Unfamiliar Sign -in: пользователь входит в систему из места, которое необычно для пользователя или отличается от того, откуда он всегда входил.
Невозможное путешествие (ITA): Пользователь входит в систему из разных мест в течение периода времени, который невозможен для поездки. (например, вход из Индии, а затем из Великобритании в течение 25 минут)
ТАКЖЕ, если одно из этих мест новое, то я также ожидал бы незнакомого входа в систему. ITA покрывает этот сценарий?)
Нетипичное путешествие: Невозможное путешествие с незнакомым знаком в повороте.
Нам нужно знать эти различия, чтобы мы можно выбрать, какие из них использовать в нашем SIEM, и снизить уровень шума.
Но различия либо очень незначительны, либо эти предупреждения являются избыточными.
- Могу я получить четкое объяснение этого оповещения,
- Наступают ли они друг другу на ногу (избыточные, повторяющиеся, перекрывающиеся)?
- Проверяют ли они, было ли создано одно или другое оповещение для одного и того же пользователя перед генерацией оповещения?