User and Entity Behavior Analytics (UEBA): Accelereret detektion og respons

Avancerede cyberangreb er en kritisk trussel mod din organisation og er ofte afhængige af kompromitterede konti til at udføre handlinger, der skader virksomhedens sikkerhed. For at identificere disse typer angreb har du brug for en stærk løsning, der giver analytikere mulighed for hurtigt at identificere normal versus unormal aktivitet på dit netværk.

UEBA-modulet tilbyder branchens førende time-to-value, hvilket giver mulighed for implementering samme dag og giver øjeblikkelig indsigt. Dette er muligt, fordi vores UEBA-modul er bygget oven på markedets mest fleksible og skalerbare SIEM-løsning.

Hvad er UEBA (User and Entity Behavior Analytics)?

UEBA er en forkortelse for User and Entity Behavior Analytics og er en sikkerhedsproces, som fokuserer på overvågning af både mistænkelig brugeradfærd og andre enheder såsom cloud, mobil eller lokale applikationer, endpoints, netværk og eksterne trusler.

Ved brug af Machine Learning bygger UEBA basislinjer for enhver enhed i netværket, og handlinger evalueres mod disse basislinjer.

Dette giver analytikere mulighed for at besvare spørgsmålene “Hvad er unormalt?” i stedet for at skabe komplicerede regler for at definere “Hvad er tilladt?”. Og det gør det muligt for analytikere at opnå situationsbevidsthed før, under og efter reaktion på trusler.

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch

Tilfører værdi til din organisation

Vi er her for at gøre din sikkerhedsanalyse mere effektiv ved at tilbyde bedre detekteringsfunktioner end nogensinde og samtidig reducere alarm-overload.

Med UEBA 2.0 kan mistænkelig brugeradfærd opdages i skyen, lokalt og inden for forretningsapplikationer – med en enestående time-to-value.

  • Reducere detektionstiden for malware-udbrud drastisk ved hjælp af algoritmedrevet analyse til detektering af beaconing, lateral movement eller weaponization.
  • Outputs fra UEBA-modulet kan korreleres med SIEM-events, hvilket gør de originale events mere indsigtsfulde end nogensinde.
  • Detekter mistænkelig brugeradfærd ved statisk eller dynamisk at berige de originale logdata ved hjælp af oplysningerne fra machine learning. li>
  • Hændelser kan visualiseres ved hjælp af dashboards og søgeskabeloner med henblik på hurtigere threat hunt.

Uovertruffen time-to-value

Kør modulet direkte i LogPoint uden integrationsbehov og uden behov for at tune og finjustere regler for statisk detektion.

Kryptereing af data inden overførsel

Af hensyn til din sikkerhed krypteres data, før de forlader netværket. Krypteringsnøglen forbliver inden for dit netværk, og ingen rå tekstdata forlader din infrastruktur.

Find straks insider-trusler

Registrer straks mistænkelig brugeradfærd i skyen, on-premise og inde i forretningsapplikationer uden tilpasning.

Hvordan gør vi det?

Hvordan gør vi?

1. Oversigtssiden

Siden giver dig et overblik over det risikoniveau, din organisation udsættes for. Dette er et godt sted at få et generelt overblik over dine nuværende risikofyldte enheder og starte en analyse, hvis nogen af ​​dine brugere eller enheder viser en øget risikoscore. Med LogPoint UEBA oplyser vi dig øjeblikkeligt antallet af aktive risikofyldte enheder, hvilket eliminerer behovet for at arbejde sig gennem enhver eneste opdaget anomali.

The overview page
The explore tab

2. Fanen Udforsk

Hvis du går videre til fanen Udforsk, kan din analytiker få en detaljeret oversigt over uregelmæssigheder med mulighed for at zoome ind på ekstrem risiko fra bruger eller enhed. Ser man på Matrix of Anomalies, kan vi let se, at bruger ozell.cruzado har en risikoscore på 100, hvilket indikerer meget mistænkelig aktivitet. Lad os se nærmere på det. 

User risk profile

3. Brugerrisikoprofil

Når man ser på brugerens risikoprofil, er der flere vigtige tegn, man skal være opmærksom på. Ser man på Matrix of Anomalies, kan vi se, at brugeren for det meste opførte sig normalt, men på et eller andet tidspunkt viste hans adfærd en signifikant afvigelse fra basislinjen, hvilket resulterede i en forøgelse af hans risikoscore. Fremadrettet vil vi undersøge, hvad Matrix of Anomalies præcist forsøger at vise os, og hvad karakteren af ​​den potentielle trussel er.

User risk profil icon
Risk behaviour timeline

4. Tidslinje for risikoadfærd

Med LogPoint kan du enkelt filtrere begivenhederne, der forårsager den øgede risikoscore sammen med antallet af begivenheder arrangeret i en gennemsigtig tidslinje med risikabel adfærd.

Kontekst til unormal adfærd

5. Kontekst til unormal brugeradfærd

Ved yderligere undersøgelse giver UEBA-modulet din analytiker detaljeret indsigt i konteksten omkring, hvorfor brugerens adfærd er usædvanlig, baseret på dennes individuelle baseline og peer-opførsel. Går du endnu dybere, kan du også udforske rå events.

context on unusual behaviour

Styrken ved UEBA og SIEM

Når en SIEM-løsning forbedres med en førsteklasses sikkerhedsanalyse, understøttes analytikere i threat hunting, og den brugte tid på falske positive elimineres og reduceres drastisk, hvilket giver dit team mulighed for at fokusere på trusler, som virkelig betyder noget.

At have SIEM som datakilde, understøttet af sikkerhedsanalyser, giver ikke kun en mere værdifuld pool af logdata, men gør det også muligt for dit SOC-team at arbejde smartere, ikke hårdere ved at reducere detektion og halvere svartiden.

UEBA 2.0 opretter enkelt forbindelse til LogPoint via et plugin. Som et resultat er der ingen grund til at foretage nogen kortlægning eller tilpasning, der reducerer time-to-value markant.

Implementeringsarkitekturen er let skalerbar for at øge antallet af enheder og datavolumen. Vores fælles taksonomi giver enkel adgang til over 400 machine learning-modeller for alle enheder.

Detekterede uregelmæssigheder bruges som berigelseskilder. Da logfiler og rå logfiler let kan undersøges, baseret på de opdagede uregelmæssigheder, kan efterforskning og forensics finde sted med det samme.

Med UEBA 2.0 vil dine analytikere få fordele fra:

Markant forøgelse af threat hunting funktionerne i din SIEM med UEBA
Med UEBA får dine LogPoint-regler en ny bedste ven: Entity Risk Scoring. Med Entity Risk Scoring anvender dine advarsler, dashboards, rapporter og søgeskabeloner viden fra UEBA.


Ikke flere foruddefinerede regler
Ved hjælp af threat modeling baseret på avanceret Machine Learning eliminerer LogPoint UEBA let falske positive, hvilket gør det muligt for dine analytikere at opnå situationsbevidsthed før, under og efter reaktion på overtrædelser – hvilket betyder, at de er mere effektive og bruger deres tid på ægte trusler.
Hvis der opstår ændringer i adfærd, justeres modellerne automatisk ved at slette den kedelige opgave at omskrive regler for at definere, hvad der er tilladt.

Problemfri implementering
I modsætning til andre løsninger vil UEBA 2.0 platformen være tilgængelig som en tjeneste og dermed fjerne unødvendige besvær i forhold til hardware og implementering.

Opdag dine brugerbaserede trusler med UEBA 2.0: Foruddefinerede use cases

Vores foruddefinerede use cases muliggør hurtig værdi uden den tidskrævende konfiguration. Vi understøtter alle kritiske muligheder for UEBA fra det bredeste sæt datakilder på markedet.

Da UEBA-modeller og machine learning er bygget på LogPoint-taksonomi, kræves der ingen ændringer i din infrastruktur for at levere kilder til UEBA-analyse. De kilder, der allerede er tilgængelige i din LogPoint SIEM, er klar til at tilføre øjeblikkelig værdi til din UEBA.

Med LogPoint UEBA 2.0 vil du få følgende kapaciteter færdigpakket:

Kompromitteret konto

  • Autentificeringslogfiler
  • Directory Service Logs
  • Operativsystemlogfiler
  • Fildelingslogfiler
  • VPN-logfiler
  • Ressourceadgangslogger
  • Operativsystemlogfiler
  • IP-arkivlogfiler

Kompromitteret maskine

  • Web Prox-logfiler
  • Directory Service Logs
  • Slutpunktslogfiler

Intern rekonstruktion

  • Autentificeringslogfiler
  • IP-arkivlogfiler
  • Fildelingslogfiler
  • Operativsystemlogfiler
  • Ressourceadgangslogger
  • Slutpunktslogfiler

Lateral movement

  • Autentificeringslogfiler
  • IP-arkivlogfiler/li>
  • Fildelingslogfiler s
  • Operativsystemlogfiler
  • Ressourceadgangsloggers
  • Slutpunktslogfiler

Data staging/theft

  • Slutpunktslogfiler
  • Directory-servicelogfiler
  • IP-arkivlogfiler
  • Printerlogfiler
  • Webproxy-logfiler

Konto misbrug

  • Autentificeringslogfiler
  • Directory Service Logs
  • Operativsystemlogfiler
  • Fildelingslogfiler
  • VPN-logfiler
  • Ressource logfiler
  • IP-arkivlogfiler
  • Printerlogfiler

Intern rekonstruktion

  • Autentificeringslogfiler
  • IP-arkivlogfiler
  • Fildelingslogfiler
  • Operativsystemlogfiler
  • Ressourceadgangslogfiler
  • Slutpunktslogfiler

Data iscenesættelse / tyveri

  • Slutpunktslogfiler
  • Directory Service Logs
  • IP-arkivlogfiler
  • Printerlogfiler
  • Webproxy-logfiler

Overvågning af privilegerede brugere

    • Autentificeringslogfiler
    • Directory-servicelogfiler
    • Slutpunktslogfiler
    • Operationssystemlogfiler
    • Fildelingslogfiler

      • VPN-logfiler
      • Ressourcelogfiler
      • IP-arkivlogfiler
      • Printerlogfiler

Applikation overvågning

      • Autentificeringslogfiler
      • IP-lagerlogfiler
      • Fildelingslogfiler
      • Operativsystemlogfiler
      • Ressourceadgangslogger

Overvågning af overholdelse

    • Webproxy-logfiler
    • Directory-servicelogfiler
    • Endpoint logs
    • Godkendelseslogs
    • IP Repository Logs
    • Fildeling Logs
    • Operativsystem Logfiler
    • Ressourceadgangslogfiler

Licensering

Med LogPoint UEBA-licensering kan du vælge de vigtigste brugere og enheder i din organisation, så du kun overvåger det, der virkelig betyder noget for dig.