User and Entity Behavior Analytics (UEBA): Accelereret detektion og respons
Avancerede cyberangreb er en kritisk trussel mod din organisation og er ofte afhængige af kompromitterede konti til at udføre handlinger, der skader virksomhedens sikkerhed. For at identificere disse typer angreb har du brug for en stærk løsning, der giver analytikere mulighed for hurtigt at identificere normal versus unormal aktivitet på dit netværk.
UEBA-modulet tilbyder branchens førende time-to-value, hvilket giver mulighed for implementering samme dag og giver øjeblikkelig indsigt. Dette er muligt, fordi vores UEBA-modul er bygget oven på markedets mest fleksible og skalerbare SIEM-løsning.
Hvad er UEBA (User and Entity Behavior Analytics)?
UEBA er en forkortelse for User and Entity Behavior Analytics og er en sikkerhedsproces, som fokuserer på overvågning af både mistænkelig brugeradfærd og andre enheder såsom cloud, mobil eller lokale applikationer, endpoints, netværk og eksterne trusler.
Ved brug af Machine Learning bygger UEBA basislinjer for enhver enhed i netværket, og handlinger evalueres mod disse basislinjer.
Dette giver analytikere mulighed for at besvare spørgsmålene “Hvad er unormalt?” i stedet for at skabe komplicerede regler for at definere “Hvad er tilladt?”. Og det gør det muligt for analytikere at opnå situationsbevidsthed før, under og efter reaktion på trusler.
Get in touch with us and learn why leading brands choose LogPoint:
Tilfører værdi til din organisation
Vi er her for at gøre din sikkerhedsanalyse mere effektiv ved at tilbyde bedre detekteringsfunktioner end nogensinde og samtidig reducere alarm-overload.
Med UEBA 2.0 kan mistænkelig brugeradfærd opdages i skyen, lokalt og inden for forretningsapplikationer – med en enestående time-to-value.
- Reducere detektionstiden for malware-udbrud drastisk ved hjælp af algoritmedrevet analyse til detektering af beaconing, lateral movement eller weaponization.
- Outputs fra UEBA-modulet kan korreleres med SIEM-events, hvilket gør de originale events mere indsigtsfulde end nogensinde.
- Detekter mistænkelig brugeradfærd ved statisk eller dynamisk at berige de originale logdata ved hjælp af oplysningerne fra machine learning. li>
- Hændelser kan visualiseres ved hjælp af dashboards og søgeskabeloner med henblik på hurtigere threat hunt.
Uovertruffen time-to-value
Kør modulet direkte i LogPoint uden integrationsbehov og uden behov for at tune og finjustere regler for statisk detektion.
Kryptereing af data inden overførsel
Af hensyn til din sikkerhed krypteres data, før de forlader netværket. Krypteringsnøglen forbliver inden for dit netværk, og ingen rå tekstdata forlader din infrastruktur.
Find straks insider-trusler
Registrer straks mistænkelig brugeradfærd i skyen, on-premise og inde i forretningsapplikationer uden tilpasning.
Hvordan gør vi det?
1. Oversigtssiden
Siden giver dig et overblik over det risikoniveau, din organisation udsættes for. Dette er et godt sted at få et generelt overblik over dine nuværende risikofyldte enheder og starte en analyse, hvis nogen af dine brugere eller enheder viser en øget risikoscore. Med LogPoint UEBA oplyser vi dig øjeblikkeligt antallet af aktive risikofyldte enheder, hvilket eliminerer behovet for at arbejde sig gennem enhver eneste opdaget anomali.
2. Fanen Udforsk
Hvis du går videre til fanen Udforsk, kan din analytiker få en detaljeret oversigt over uregelmæssigheder med mulighed for at zoome ind på ekstrem risiko fra bruger eller enhed. Ser man på Matrix of Anomalies, kan vi let se, at bruger ozell.cruzado har en risikoscore på 100, hvilket indikerer meget mistænkelig aktivitet. Lad os se nærmere på det.
3. Brugerrisikoprofil
Når man ser på brugerens risikoprofil, er der flere vigtige tegn, man skal være opmærksom på. Ser man på Matrix of Anomalies, kan vi se, at brugeren for det meste opførte sig normalt, men på et eller andet tidspunkt viste hans adfærd en signifikant afvigelse fra basislinjen, hvilket resulterede i en forøgelse af hans risikoscore. Fremadrettet vil vi undersøge, hvad Matrix of Anomalies præcist forsøger at vise os, og hvad karakteren af den potentielle trussel er.
Styrken ved UEBA og SIEM
Når en SIEM-løsning forbedres med en førsteklasses sikkerhedsanalyse, understøttes analytikere i threat hunting, og den brugte tid på falske positive elimineres og reduceres drastisk, hvilket giver dit team mulighed for at fokusere på trusler, som virkelig betyder noget.
At have SIEM som datakilde, understøttet af sikkerhedsanalyser, giver ikke kun en mere værdifuld pool af logdata, men gør det også muligt for dit SOC-team at arbejde smartere, ikke hårdere ved at reducere detektion og halvere svartiden.
UEBA 2.0 opretter enkelt forbindelse til LogPoint via et plugin. Som et resultat er der ingen grund til at foretage nogen kortlægning eller tilpasning, der reducerer time-to-value markant.
Implementeringsarkitekturen er let skalerbar for at øge antallet af enheder og datavolumen. Vores fælles taksonomi giver enkel adgang til over 400 machine learning-modeller for alle enheder.
Detekterede uregelmæssigheder bruges som berigelseskilder. Da logfiler og rå logfiler let kan undersøges, baseret på de opdagede uregelmæssigheder, kan efterforskning og forensics finde sted med det samme.
Med UEBA 2.0 vil dine analytikere få fordele fra:
Markant forøgelse af threat hunting funktionerne i din SIEM med UEBA
Med UEBA får dine LogPoint-regler en ny bedste ven: Entity Risk Scoring. Med Entity Risk Scoring anvender dine advarsler, dashboards, rapporter og søgeskabeloner viden fra UEBA.
Ikke flere foruddefinerede regler
Ved hjælp af threat modeling baseret på avanceret Machine Learning eliminerer LogPoint UEBA let falske positive, hvilket gør det muligt for dine analytikere at opnå situationsbevidsthed før, under og efter reaktion på overtrædelser – hvilket betyder, at de er mere effektive og bruger deres tid på ægte trusler.
Hvis der opstår ændringer i adfærd, justeres modellerne automatisk ved at slette den kedelige opgave at omskrive regler for at definere, hvad der er tilladt.
Problemfri implementering
I modsætning til andre løsninger vil UEBA 2.0 platformen være tilgængelig som en tjeneste og dermed fjerne unødvendige besvær i forhold til hardware og implementering.
Opdag dine brugerbaserede trusler med UEBA 2.0: Foruddefinerede use cases
Vores foruddefinerede use cases muliggør hurtig værdi uden den tidskrævende konfiguration. Vi understøtter alle kritiske muligheder for UEBA fra det bredeste sæt datakilder på markedet.
Da UEBA-modeller og machine learning er bygget på LogPoint-taksonomi, kræves der ingen ændringer i din infrastruktur for at levere kilder til UEBA-analyse. De kilder, der allerede er tilgængelige i din LogPoint SIEM, er klar til at tilføre øjeblikkelig værdi til din UEBA.
Med LogPoint UEBA 2.0 vil du få følgende kapaciteter færdigpakket:
Kompromitteret konto
- Autentificeringslogfiler
- Directory Service Logs
- Operativsystemlogfiler
- Fildelingslogfiler
- VPN-logfiler
- Ressourceadgangslogger
- Operativsystemlogfiler
- IP-arkivlogfiler
Kompromitteret maskine
- Web Prox-logfiler
- Directory Service Logs
- Slutpunktslogfiler
Intern rekonstruktion
- Autentificeringslogfiler
- IP-arkivlogfiler
- Fildelingslogfiler
- Operativsystemlogfiler
- Ressourceadgangslogger
- Slutpunktslogfiler
Lateral movement
- Autentificeringslogfiler
- IP-arkivlogfiler/li>
- Fildelingslogfiler s
- Operativsystemlogfiler
- Ressourceadgangsloggers
- Slutpunktslogfiler
Data staging/theft
- Slutpunktslogfiler
- Directory-servicelogfiler
- IP-arkivlogfiler
- Printerlogfiler
- Webproxy-logfiler
Konto misbrug
- Autentificeringslogfiler
- Directory Service Logs
- Operativsystemlogfiler
- Fildelingslogfiler
- VPN-logfiler
- Ressource logfiler
- IP-arkivlogfiler
- Printerlogfiler
Intern rekonstruktion
- Autentificeringslogfiler
- IP-arkivlogfiler
- Fildelingslogfiler
- Operativsystemlogfiler
- Ressourceadgangslogfiler
- Slutpunktslogfiler
Data iscenesættelse / tyveri
- Slutpunktslogfiler
- Directory Service Logs
- IP-arkivlogfiler
- Printerlogfiler
- Webproxy-logfiler
Overvågning af privilegerede brugere
-
- Autentificeringslogfiler
- Directory-servicelogfiler
- Slutpunktslogfiler
- Operationssystemlogfiler
- Fildelingslogfiler
ul>
-
-
- VPN-logfiler
- Ressourcelogfiler
- IP-arkivlogfiler
- Printerlogfiler
-
Applikation overvågning
-
-
- Autentificeringslogfiler
- IP-lagerlogfiler
- Fildelingslogfiler
-
- Operativsystemlogfiler
- Ressourceadgangslogger
-
Overvågning af overholdelse
-
- Webproxy-logfiler
- Directory-servicelogfiler
- Endpoint logs
- Godkendelseslogs
-
- IP Repository Logs
- Fildeling Logs
- Operativsystem Logfiler
- Ressourceadgangslogfiler
Licensering
Med LogPoint UEBA-licensering kan du vælge de vigtigste brugere og enheder i din organisation, så du kun overvåger det, der virkelig betyder noget for dig.