Если говорить про аномалии в контексте DCAP, то система действительно может отслеживать отклонения в поведении пользователей, сбои в работе оборудования, а также подозрительные действия с файлами и данными. Всё это строится на анализе событий. При этом система не отправляет каждую аномалию оператору, а использует фильтры и корреляцию, чтобы выделять значимое. Сценарии реагирования на эти аномалии всё равно настраиваются вручную – автоматике невозможно самой понять, что критично для конкретной организации.
Фолз-позитивы, конечно, бывают, это нормально для любых систем такого класса, но лучше так, чем пропустить реальную атаку или сбой.
Если говорить про аномалии в контексте DCAP, то система действительно может отслеживать отклонения в поведении пользователей, сбои в работе оборудования, а также подозрительные действия с файлами и данными. Всё это строится на анализе событий. При этом система не отправляет каждую аномалию оператору, а использует фильтры и корреляцию, чтобы выделять значимое. Сценарии реагирования на эти аномалии всё равно настраиваются вручную – автоматике невозможно самой понять, что критично для конкретной организации.
Фолз-позитивы, конечно, бывают, это нормально для любых систем такого класса, но лучше так, чем пропустить реальную атаку или сбой.