Кейсы для применения средств анализа сетевых аномалий: контроль удаленного доступа

Надо сразу отметить, что мониторинг удаленного доступа мало чем отличается от каких-то иных узлов. Например, в прошлой заметке, когда мы ловили кампанию DNSpionage и Sea Turtle, мы начинали с группирования DNS-серверов в группу, которую и ставили на контроль, а также которая служила для нас эталоном и появление любых узлов, выполняющих функции DNS-сервера, но не входящих в нужную группу, автоматически считалось бы аномалией. С удаленным доступом все тоже самое — сначала мы должны объединить в группу все внутренние IP-адреса удаленных пользователей, а также все узлы, к которым эти пользователи могут подключаться (например, RDP-прокси, терминальный сервер, сервер электронной почты, файловый сервер, рабочие места, к которым удаленно подключаются пользователи, или виртуалки, доступ к которым осуществляется по VDI, и т.п.).