👁️🗨️ Belépések monitorozása – hogyan tűnik fel egy támadás?
Sokan azt gondolják, hogy egy támadás mindig feltűnő.
Pedig gyakran csak egy új belépés történik.
Nem robban semmi, nem jön vírusüzenet – csak valaki, aki nem te vagy, bejutott.
És ha ezt nem figyeled – akkor sosem fogod észrevenni.
🔍 Miért fontos figyelni a belépéseket?
👤 Mert az első dolog, amit egy támadó csinál: belép
- E-mail fiók
- VPN
- Szerver
- Admin felület
Ha sikerül neki, onnantól belül van – és már nem „hacker”, hanem felhasználó.
🚨 Mik a figyelmeztető jelek?
🌍 1. Belépés szokatlan helyről
- Kínából éjjel 2-kor?
- Olyan IP-ről, ami sosem szerepelt korábban?
🕒 2. Szokatlan időpontban
- Munkatárs hajnali 4-kor jelentkezik be?
- Hétvégén több száz fájlt tölt le?
🔄 3. Hirtelen több próbálkozás (brute force jelek)
- 10+ sikertelen próbálkozás pár percen belül
- Majd egy sikeres belépés ugyanarról az IP-ről
🔀 4. Bejelentkezés különböző helyekről rövid időn belül
- Valaki Budapestről és 15 perccel később Szingapúrból?
Ez fizikailag lehetetlen – és figyelmeztető jel.
🛠️ Hogyan figyeld ezeket?
✅ 1. Használj belépésnaplózást minden szolgáltatásban
- Microsoft 365, Google Workspace, VPN, webalkalmazások
- Naplózza az IP-t, időpontot, eredményt
✅ 2. Használj SIEM rendszert vagy log-összesítőt
- Pl. Wazuh, ELK, Splunk, Graylog
- Ezek képesek riasztani szokatlan eseményekre
✅ 3. Készíts profilokat a normál működésről
- Honnan szoktak belépni?
- Milyen időszakokban?
- Milyen eszközről?
Így könnyebb kiszúrni az eltérést
✅ 4. Állíts be automatikus riasztásokat
- „Új ország IP” → e-mail/SMS/Slack figyelmeztetés
- „Admin bejelentkezés munkaidőn kívül”
- „Sikertelen próbálkozások száma meghaladja a 10-et”
🧠 Összefoglalva
- A támadások egyik legelső nyoma a szokatlan belépés
- Ezt csak akkor veszed észre, ha naplózod és elemzed
- A jó védekezés nem csak falat épít – hanem figyeli, hogy valaki átmászott-e rajta
A gépek figyelnek. De csak akkor jeleznek, ha megtanítod őket mit nézzenek.
➡️ Következő ajánlott cikk: „Nem működik a weblapunk!” – lehet, hogy DDoS?