当前位置:首页 > 报告详情

SANS360 - SCADE:检测数据中心中的隐藏威胁.pdf

上传人: 可*** 编号:991763 2025-12-07 9页 942.72KB

1、SCADE:Detecting Hidden Threats in SCADE:Detecting Hidden Threats in Data CentersData CentersVaishali VinaySenior Data&Applied Scientist,Microsoft ResearchWhy Traditional Security Tools Fail in Data Centers?Built for Endpoints,Not Automation Alert Fatigue from High Volume Short-Lived Workloads&Visibi

2、lity Gaps No labeled datasetSCADE solves these problems with a Dual Layered ApproachPROCESSTelemetryFilter Process Creation logs(Event Id:4688)Identify commands that are statistically unusual across workloads.Assigns a rarity score to each command by analyzing historical execution patterns.Identify

3、commands that are statistically unusual across workloads.Assigns a rarity score to each command by analyzing historical execution patterns.High Confident AlertGlobal Analysis Detects Rare CommandAzure Security LogsLocal Analysis Detects True AnomaliesPROCESSTelemetryFilter Process Creation logs(Even

4、t Id:4688)Identify commands that are statistically unusual across workloads.Assigns a rarity score to each command by analyzing historical execution patterns.Executes behavioral analysis.Eliminates false positives from expected-rare-but-benign activity.High Confident AlertGlobal Analysis Detects Rar

5、e CommandAzure Security LogsLocal Analysis Detects True AnomaliesPowered by Statistical Methods:Log Entropy and BM25Powered by ML Model:Isolation ForestWhy SCADE?Smarter Anomaly Detection for Automation Heavy Environments Reduces False Positives Focuses on Meaningful Threats Works Without Labeled Da

6、ta Detects New&Unknown Attacks Explainability No More Black-Box Alerts Dynamic Thresholding Adapts to Workload Changes in Real-Time Designed for High-Scale EnvironmentsSCADE in Action:POC Data OverviewWe conducted a Proof of Concept(PoC)using real execution lo

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
根据报告的内容,全文主要内容概括如下: - **SCADE 解决数据中心传统安全工具的不足**: - 传统工具针对端点而非自动化系统。 - 高量警报导致疲劳。 - 短暂工作负载和可见性差距。 - 缺乏标记数据集。 - **SCADE 的双层方法**: - 使用统计方法(日志熵和BM25)和机器学习模型(隔离森林)。 - 本地分析检测真实异常。 - 全球分析检测罕见命令。 - **SCADE 的优势**: - 减少误报,专注于有意义威胁。 - 无需标记数据,检测新未知攻击。 - 可解释性,无黑盒警报。 - 动态阈值,实时适应工作负载变化。 - **POC 数据概述**: - 总节点数:1800万。 - 每日新进程创建事件:约31.3亿次。 - 使用CertUtil.exe工具的事件:约7400万。 - 真实威胁检测:2天内5个警报,98%精确度。 - **挑战与未来方向**: - 超越异常检测,理解攻击者意图。 - 加强对逃避性威胁的防御。 - 提高检测对中毒、对抗性操纵和隐蔽技术的抵抗力。 - 检测更高级的攻击。
数据中心安全新利器?" "如何减少数据中心误报?" "未知攻击检测,SCADE有何独到之处?"
客服
商务合作
小程序
服务号
折叠