SIEM:将远程登录与原始用户和目标用户关联起来

Question

如何能够关联或检测用户登录(如通过ssh/rdp来关联原始用户和目标用户)。

我的用例是知道谁实际(个人/可识别)使用了一个技术帐户(非个人)。

编辑: Sidenote:客户端和两个用户都在同一个网络中，或者至少共享相同的are或身份验证。

Answer 1

SIEM相关规则通常要求在日志中匹配或对应属性，以便将2条日志链接到一起。因此，一种选择可能是匹配ip地址。也许这是一个计时规则，比如远程(个人)帐户登录和日志显示他们被分配了一个内部ip。然后，规则规定，如果在5分钟内，内部ip登录到另一个具有不同帐户(技术)的系统，然后向您报告。现在，您有了一个与个人帐户和技术帐户相关的警报。

示例：

Log1: vpn表示user1从8.8.8.8远程到ip 10.0.0.1

Log2: Linux服务器说我来自10.0.0.1

警报: Linux ssh在vpn登录后5分钟内与ips匹配。