Анализ поведения пользователей и субъектов

Решение UEBA предоставляет центрам управления безопасностью (SOC) видимость для выявления угроз со стороны пользователей, которые в противном случае могли бы остаться незамеченными, а также возможность защиты от различных атак разного уровня сложности. В этом могут помочь эффективные инструменты безопасности UEBA:

• Обрабатывать машинные данные в схему, соответствующую требованиям безопасности.
• Получать реальное представление о пользователях, а не только о различных учетных записях.
• Обнаруживать и определять приоритеты сложных угроз, связанных с пользователями.
• Ускорять квалификацию и расследование угроз.
• Оптимизировать реагирование через рабочие процессы операций с безопасностью.

Оценивая инструменты безопасности UEBA, важно помнить о основных сценариях использования, исходя из конкретных потребностей и требований вашей организации. На высоком уровне безопасности UEBA может помочь вам выявить и реагировать на следующие сценарии использования UEBA: компрометация учетной записи, угрозы внутренних сотрудников, а также злоупотребление и несанкционированное использование привилегированных учетных записей.

Ваша организация собирает и генерирует огромное количество данных из различных источников. Прежде чем анализировать эти данные, их необходимо нормализовать и обогатить, чтобы обеспечить эффективный поиск и машинный анализ. Без успешной предобработки данных для анализа ваше решение UEBA неизбежно будет содержать «слепые зоны», создавая ложные срабатывания, упуская важные события или, что еще хуже, неправильно классифицируя безвредные аномалии как угрозы.

Обработка данных начинается с разбора машинных данных на метаданные, специально структурированные для анализа безопасности. Применение единой схемы к обрабатываемым данным является ключевым моментом для UEBA. При внимательном рассмотрении можно выявить значительную разницу в мощности этих возможностей в различных решениях. Например, при уведомлении об изменении разрешений другим администратором схема должна быть способной отличить администратора от пользователя, на которого это повлияло. Нормализация данных повышает точность анализируемых данных путем корректировки значений на основе известных отклонений.

Обогащение данных включает в себя процесс добавления метаданных, полученных из журнала, с дополнительными контекстными данными для более эффективного анализа. Ниже приведены несколько примеров обогащения данных.

• Использование геолокации для преобразования IP-адреса в предполагаемое местоположение.
• Декодирование кодов журнала в осмысленную и диагностическую классификацию поставщиков (например, Windows Event ID 4624 = успешный вход в учетную запись).