Разница - нетипичное путешествие, невозможное путешествие, незнакомый вход
У нас есть оповещения безопасности от Azure ATP и MCAS (Microsoft Cloud App Security), настроенных в нашей среде. Мы получаем предупреждения о незнакомых входах, невозможных путешествиях и нетипичных поездках. В моем понимании:
Незнакомый вход -in: пользователь входит в систему из места, которое необычно для пользователя или отличается от того, откуда он всегда входил.
Невозможная поездка (ITA): пользователь входит в систему из разных мест в течение времени, которое невозможно для поездки. (например, вход из Индии, а затем из Великобритании в течение 25 минут)
ТАКЖЕ, если одно из этих мест является новым, я бы также ожидал незнакомого входа в систему. (Или ITA охватывает этот сценарий?)
Нетипичное путешествие: невозможное путешествие с незнакомым знаком в повороте.
Нам нужно знать эти различия, чтобы мы могли выбрать, какие из них использовать в SIEM, и уменьшить шум.
Но различия либо очень тонкие, либо эти предупреждения избыточны.
- Могу я получить четкое объяснение этих предупреждений,
- Они наступают друг другу на пятки (повторяющиеся, повторяющиеся, перекрывающиеся)?
- Проверяют ли они, было ли создано то или иное предупреждение для того же пользователя, прежде чем генерировать предупреждение?