SRAN Technology

ฐานข้อมูล Log Data Traffic ที่เกี่ยวกับการใช้ Login เข้า Domain Controller

ลักษณะการใช้งาน Authentication

ชื่อฐานข้อมูล Signature : Authentication Domain Controller

หมายเลข : NDA001

วันที่ติดตั้งฐานข้อมูล : 25/03/08

ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การ Login เข้าสู่ Domain Controller (Windows Server Active Directory)

ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น

Who : ชื่อ User ที่ทำการ Login

What : เป็นการระบุตัว (Authentication) ผ่าน Domain Controller (Windows)

Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)

When : ทราบถึงวันเวลาการ Login ของ User นั้น

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ Login สำเร็จหรือไม่

ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการ Authentication

นี้เป็นอีกตัวอย่างหนึ่ง ที่แสดงให้เห็นว่า ไม่ว่าอยู่ที่ใดหากออกอินเตอร์เน็ตได้เราก็สามารถเข้ามาสำรวจ ตรวจสอบ และประเมินผลระบบเครือข่าย พร้อมทั้งวิเคราะห์ลักษณะการใช้งานข้อมูลบนตัวอุปกรณ์ SRAN ได้ หากทางเครือข่ายนั้นได้ทำการเปิด Port SSL และทำการ Re-Direct ไปที่เครื่อง SRAN ที่วางในเครือข่ายท่าน สิ่งที่ได้จาก SRAN คือ การวิเคราะห์ระดับข้อมูลการใช้งานหรือ Bandwidth ที่ใช้ Application Protocol ที่ใช้ รวมถึงข้อมูลทั้งที่ปกติและไม่ปกติ เพื่อรู้ทันปัญหาได้อย่างสะดวกขึ้น

จากกรณีศึกษาการใช้ SRANวิเคราะห์ Log ตอนที่ 2 นั้นหลายคนอาจสงสัยว่า นายพัฒบริษัท XXX ที่อยู่นอกสถานที่ สามารถทำการ Remote ผ่านมือถือเพื่อเข้าไปวิเคราะห์ผลความเสี่ยงที่พบบนเครือข่ายของตนเองได้อย่างไร เรามาย้อนเวลาดูกันครับ เป็น Step by Step

ใกล้มือที่สุด คือ iPhone คลิกปุ่มเพื่อทำการ Slide unlock และคลิกเกาะ Wi-fi ที่ทางรีสอร์ทจัดให้

เมื่อทำการติดต่อระบบ Wi-fi ได้ก็ลองเปิดบราวเซอร์ดูว่ามีการเชื่อมต่ออินเตอร์เน็ตได้หรือไม่ เมื่อได้แล้วพัฒไม่รอช้า
จึงเข้าสู่ Web Application บนอุปกรณ์ SRAN ที่ทาง Firewall บริษัท XXX ได้ Forward port 443 ให้แล้ว (more…)