FireEye发布新开源系统GeoLogonalyzer 帮助检测系统恶意登录

FireEye发布了GeoLogonalyzer，这是一款开源工具，可以帮助企业根据地理位置和其他数据检测恶意登录。

许多组织需要允许员工从世界任何地方连接到企业系统。然而，威胁演员通常依靠被盗取的证书来访问目标公司的系统。

识别合法登录和恶意登录可能具有挑战性，但FireEye希望通过其GeoLogonalyzer来解决问题，GeoLogonalyzer利用该公司所称的地理可用性。

GeoLogonalyzer分析包含时间戳，用户名和IP地址的认证日志，并突出显示所有更改，包括异常情况，数据中心托管信息，位置数据，ASN信息以及时间和距离度量标准。

GeoFeasibility查看启动登录的用户的位置，以确定登录是否可疑。例如，如果用户连接到来自美国的公司VPN，则几分钟后他们不太可能从澳大利亚连接到VPN。

除了检查帐户是否在短时间内从两个遥远的地理位置进行身份验证之外，GeoLogonalyzer还会查看通常从注册到一个物理位置的IP地址登录的帐户，但也可以从用户不太可能访问的位置进行身份验证。

从没有员工居住或预计前往的外国地点登录，以及组织没有任何商业联系的地方也将引发红旗。

较不明显的登录模式也可能被视为可疑，包括通常从一个IP地址，子网或ASN登录的用户帐户，但也有少量来自不同源的登录，或者从登录到云的IP地址登录服务器托管商。从多个源主机名或多个VPN客户端登录的用户也被认为是可疑的。