GeoLogonalyzer анализирует журналы проверки подлинности, содержащие метки времени, имена пользователей и IP-адреса.
Компания FireEye выпустила инструмент с открытым исходным кодом GeoLogonalyzer, позволяющий организациям обнаруживать несанкционированные попытки авторизации на основе геолокации и других данных.
Многие организации позволяют своим сотрудникам подключаться к корпоративным системам из любой точки мира и идентификация легитимных попыток авторизации может быть сложной задачей, однако эксперты попыталась решить данную проблему с помощью инструмента GeoLogonalyzer, использующего технологию GeoFeasibility.
GeoLogonalyzer анализирует журналы проверки подлинности, содержащие временные метки, имена пользователей и IP-адреса, а также выделяет любые изменения, в том числе связанные с информацией о размещении центров обработки данных, данными о местоположении, информацией ASN и метрикой времени и расстояния.
GeoFeasibility анализирует местоположение пользователя, который инициировал вход в систему, чтобы определить, является ли оно подозрительным. Помимо проверки подлинности учетных записей из двух удаленных географических мест за короткий промежуток времени, GeoLogonalyzer просматривает учетные записи пользователей, которые обычно авторизуются через IP-адреса, зарегистрированные в определенной локации, но также могут аутентифицироваться из мест, где пользователь вряд ли находится. Таким образом, попытки авторизации из мест, где ни один сотрудник не проживает, а организация не имеет деловых контактов, также будут распознаваться инструментом, как подозрительные.
Дополнительная информация и инструкции по использованию доступны на портале GitHub.
Одно найти легче, чем другое. Спойлер: это не темная материя