UEBA (User and Entity Behavior Analytics): Beschleunigte Erkennung und Reaktion

Fortschrittliche Angriffe und allgegenwärtige Bedrohungen für Ihr Unternehmen beruhen häufig auf manipulierten Anmeldedaten oder darauf, dass Benutzer Aktionen ausführen, welche die Unternehmenssicherheit gefährden. Um diese Art von Angriffen zu identifizieren, benötigen Sie eine leistungsstarke Lösung, mit der Analysten normalen von den abnormen Aktivitäten in Ihrer Infrastruktur schnell unterscheiden können.

Das UEBA-Modul bietet branchenführende Time-to-Value-Lösung und ermöglicht die Bereitstellung am selben Tag, um sofortige Erkenntnisse zu gewinnen. Dies ist möglich, weil unser UEBA-Modul auf der flexibelsten und skalierbarsten SIEM-Lösung auf dem Markt basiert.

Was ist UEBA (User and Entity Behavior Analytics)?

UEBA steht für User and Entity Behavior Analytics (Verhaltensanalyse von Benutzern und Entitäten) und ist ein Sicherheitsprozess, der sich auf die Überwachung sowohl verdächtigen Benutzerverhaltens als auch anderer Entitäten, wie Cloud-Mobil- oder On-Premise-Anwendungen, Endpunkte, Netzwerke und externen Bedrohungen, konzentriert.

Mithilfe von Machine Learning werden mit UEBA Baselines für jede Entität im Netzwerk erstellt und die Aktionen dann anhand dieser Baselines bewertet.

Auf diese Weise können Analysten die Fragen „Was ist normal?“ Und „Was ist ungewöhnlich?“ beantworten, anstatt komplizierte vordefinierte Regeln zu erstellen, um „Was ist erlaubt?“ zu definieren. Dadurch können die Analysten vor, während und nach der Reaktion auf Verstößen ein Situationsbewusstsein entwickeln.

Buchen Sie eine Demo

Würden Sie gerne selbst sehen, wie LogPoint SIEM und UEBA neu definiert? Buchen Sie untenstehend eine Demo und finden Sie heraus, wie LogPoint mit jeder Datenquelle funktionieren kann.

Mehrwert für Ihr Unternehmen schaffen

Wir sind dafür da, Ihre Sicherheitsanalysen effizienter zu gestalten, indem wir bessere Erkennungsfunktionen denn je bieten und gleichzeitig die Erschöpfung der Alarmbereitschaft reduzieren.

Mit UEBA 2.0 kann verdächtiges Benutzerverhalten in der Cloud, on Premise und in Geschäftsanwendungen erkannt werden – mit einer beispiellosen Time-to-Value-Wert.

  • Reduzieren Sie die Erkennungszeit von Malware-Ausbrüchen drastisch durch die Anwendung von algorithmischen Analysen, um Beaconing (stoßhafte Ausschicken von kleinen Datenpaketen, meist um mit einem externen Server oder mit einem Command-and-Control Server zu kommunizieren), Seitwärtsbewegungen oder die Ausnutzung der Daten für bösartigen Zwecke zu erkennen.
  • Die Daten aus dem UEBA-Modul können mit den Logs in Ihrem SIEM korreliert werden, wodurch die ursprünglichen Ereignisse aufschlussreicher denn je werden.
  • Entdecken Sie verdächtiges Benutzerverhalten, indem Sie die ursprünglichen Protokolldaten mit den Machine-Learning-Informationen statisch oder dynamisch anreichern.
  • Vorfälle können mithilfe von Dashboards und Suchvorlagen für ein schnelleres Aufspüren von Bedrohungen visualisiert werden.

Beispiellose Wertschöpfung

Führen Sie das Modul direkt in LogPoint aus, ohne dass eine Integration erforderlich ist und ohne dass statische Erkennungsregeln angepasst und justiert werden müssen.

Verschlüsselte Datenübertragung

Zu Ihrer Sicherheit werden die Daten verschlüsselt, bevor sie das Netzwerk verlassen. Der Verschlüsselungscode bleibt in Ihrem Netzwerk und es verlassen keine Klartextdaten Ihre Infrastruktur.

Sofortige Erkennung von Insider-Bedrohungen

Erkennen Sie verdächtiges Benutzerverhalten in der Cloud, on Premise und innerhalb von Geschäftsanwendungen sofort und ohne dass individuelle Anpassungen erforderlich sind.

Wie schaffen wir das?

LogPoint UEBA Overview Page

1. Die Übersichtsseite

Auf diese Weise erhalten Sie einen Überblick über das Risiko, dem Ihr Unternehmen ausgesetzt ist. Dies ist ein guter Ort, um sich einen allgemeinen Überblick über Ihre aktuellen risikobehafteten Entitäten zu verschaffen und um eine Untersuchung zu starten, wenn Benutzer oder Entitäten einen erhöhten Risikowert aufweisen. Mit LogPoint UEBA teilen wir Ihnen sofort die Anzahl der aktiven risikoreichen Einheiten mit, sodass Sie nicht mehr jede festgestellte Anomalie durchkämmen müssen.

LogPoint UEBA Overview Page
LogPoint UEBA Explore Tab

2. Die Registerkarte „Analysieren“

Mit der Registerkarte „Analysieren“ können Sie sich einen detaillierten Überblick über Anomalien verschaffen und die Möglichkeit nutzen, extreme Risiken nach Benutzer oder Entität zu analysieren. Wenn wir uns die Anomalien-Matrix ansehen, können wir leicht erkennen, dass der Benutzer ozell.cruzado einen Risikowert von 100 aufweist, was auf eine hochverdächtige Aktivität hindeutet. Sehen wir uns dies einmal genauer an.

LogPoint UEBA User Risk Profile

3. Benutzer-Risikoprofil

Bei der Betrachtung des Benutzer-Risikoprofils sind mehrere wichtige Hinweise zu beachten. Ein Blick auf die Anomalien-Matrix zeigt, dass sich der Benutzer größtenteils normal verhalten hat. Irgendwann jedoch zeigte sein Verhalten eine signifikante Abweichung von der Baseline, was zur Erhöhung seines Risikowertes führte. In Zukunft werden wir analysieren, was genau die Anomalien-Matrix uns zu zeigen versucht und von welcher Art die mögliche Bedrohung ist.

LogPoint UEBA User Risk Profile
LogPoint UEBA Risk Behavior Timeline dashboard

4. Zeitachse für das Risikoverhalten

Mit LogPoint können Sie mühelos die Ereignisse herausfiltern, die den erhöhten Risikowert verursachen, sowie die Anzahl der Ereignisse, die auf einer transparenten Zeitachse für riskantes Verhalten angeordnet sind.

LogPoint UEBA Context on Unusual User Behavior

5. Kontext zu ungewöhnlichem Benutzerverhalten

Durch weitere Untersuchungen liefert das UEBA-Modul Ihrem Analysten einen detaillierten Kontext dazu, warum das Verhalten des Benutzers aufgrund seines individuellen Baseline- und Peer-Verhaltens höchst ungewöhnlich ist. Darüber hinaus können Sie auch Raw-Ereignisse analysieren.

LogPoint UEBA Context on Unusual User Behavior

Die Leistungsstärke von UEBA und SIEM

Wenn eine durch erstklassige Sicherheitsanalysen erweiterte SIEM-Lösung Analysten beim Aufspüren von Bedrohungen unterstützt, verringert sich der Zeitaufwand für die Beseitigung von Fehlalarmen drastisch, sodass sich Ihr Team auf die Bedrohungen konzentrieren kann, die wirklich wichtig sind.

Wenn SIEM als Datenquelle von Sicherheitsanalyse unterstützt wird, wird nicht nur ein wertvollerer Pool von Protokolldaten bereitgestellt, sondern Ihr SOC-Team kann auch smarter agieren – ohne härter arbeiten zu müssen – indem die Erkennungs- und Reaktionszeit halbiert werden.

UEBA 2.0 stellt über ein Plugin problemlos eine Verbindung zu LogPoint her. Infolgedessen müssen keine Zuordnungen oder Anpassungen vorgenommen werden, wodurch sich die Zeit bis zu tatsächlichen, wertvollen Ergebnissen drastisch verringert.

Die Bereitstellungsarchitektur ist leicht skalierbar, um einer steigenden Anzahl von Entitäten und einem höheren Datenvolumen gerecht zu werden. Unsere einheitliche Taxonomie ermöglicht den Zugriff auf über 400 Machine Learning-Modelle für alle Geräte.

Erkannte Anomalien werden als Anreicherungsquellen verwendet. Da Logs und Raw-Logs basierend auf den festgestellten Anomalien leicht untersucht werden können, lassen sich Analysen und forensische Untersuchungen sofort durchführen.

Mit UEBA 2.0 profitieren Ihre Analysten von:

Einer drastischen Steigerung der Fähigkeit zum Aufspüren von Bedrohungen Ihres SIEM mit UEBA
Mit UEBA erhalten Ihre LogPoint-Regeln einen neuen besten Freund: Entity Risk Scoring. Mit Entity Risk Scoring (Risikobewertung bei Usern und Entitäten) nutzen all Ihre Warnmeldungen, Dashboards, Berichte und Suchvorlagen die Kenntnisse aus UEBA.

Keine vordefinierten Regeln mehr
Mit der auf fortschrittlichem Machine Learning basierenden Bedrohungsmodellierung eliminiert LogPoint UEBA auf einfache Weise Fehlalarme und ermöglicht es Ihren Analysten, vor, während und nach der Reaktion auf Sicherheitsverletzungen eine Situationsbewusstsein zu entwickeln. Wenn sich das Verhalten ändert, werden die Modelle automatisch angepasst, sodass die mühsame Aufgabe des Löschens von Regeln zur Bestimmung, was zulässig ist, entfällt.

Problemlose Bereitstellung
Im Gegensatz zu anderen Lösungen wird die UEBA 2.0-Plattform als Dienst verfügbar sein, wodurch unnötige Probleme bei Hardware und Bereitstellung vermieden werden.

Erkennen Sie von Anwendern stammende Bedrohungen mit UEBA 2.0: Vordefinierte Anwendungsfälle

Unsere vordefinierten Anwendungsfälle ermöglichen einen schnellen Mehrwert ganz ohne zeitaufwändige Konfiguration. Unsere Lösung ist direkt einsatzbereit und wir unterstützen alle wichtigen Funktionen für UEBA – auf der Basis des umfangreichsten Datenquellenpools auf dem Markt.

Da unsere UEBA-Modelle und das Machine Learning auf der LogPoint-Taxonomie basieren, sind keine Änderungen an Ihrer Infrastruktur erforderlich, um Quellen für die UEBA-Analyse bereitzustellen. Die in Ihrem LogPoint SIEM bereits verfügbaren Quellen können an Ihre UEBA sofort einen Mehrwert liefern.

Mit LogPoint UEBA 2.0 erhalten Sie die folgenden Funktionen vordefiniert mitgeliefert:

Kompromittiertes Konto

  • Authentifizierungsprotokolle
  • Verzeichnisdienste-Protokolle
  • Protokolle von den Betriebssystemen
  • Dateifreigabe Protokolle
  • VPN-Protokolle
  • Protokollierung der Zugriffe auf Ressourcen
  • Protokolle von den Betriebssystemen
  • IP-Repository-Protokolle

Kompromittiertes Gerät

  • Web Proxy-Protokolle
  • Verzeichnisdienste-Protokolle
  • Endpunktprotokolle

Interne Erkennung

  • Authentifizierungsprotokolle
  • IP-Repository-Protokolle
  • Dateifreigabe Protokolle
  • Protokolle von den Betriebssystemen
  • Protokollierung der Zugriffe auf Ressourcen
  • Endpunktprotokolle

Seitwärtsbewegung

  • Authentifizierungsprotokolle
  • IP-Repository-Protokolle
  • Dateifreigabe Protokolle
  • Protokolle von den Betriebssystemen
  • Protokollierung der Zugriffe auf Ressourcen
  • Endpunktprotokolle

Datenbereitstellung/-diebstahl

  • Endpunktprotokolle
  • Verzeichnisservice-Protokolle
  • IP-Repository-Protokolle
  • Druckerprotokolle
  • Web Proxy-Protokolle

Kompromittiertes Konto

  • Authentifizierungsprotokolle
  • Verzeichnisdienste-Protokolle
  • Protokolle von den Betriebssystemen
  • Dateifreigabe Protokolle
  • VPN-Protokolle
  • Protokollierung der Zugriffe auf Ressourcen
  • Protokolle von den Betriebssystemen
  • IP-Repository-Protokolle

Interne Erkennung

  • Authentifizierungsprotokolle
  • IP-Repository-Protokolle
  • Dateifreigabeprotokolle
  • Betriebssystemprotokolle
  • Ressourcenzugriffsprotokolle
  • Endpunktprotokolle

Datenbereitstellung/-diebstahl

  • Endpunktprotokolle
  • Verzeichnisservice-Protokolle
  • IP-Repository-Protokolle
  • Druckerprotokolle
  • Web Proxy-Protokolle

Überwachung von privilegierten Anwendern

  • Authentifizierungsprotokolle
  • Verzeichnisservice-Protokolle
  • Endpunktprotokolle
  • Betriebssystemprotokolle
  • Dateifreigabeprotokolle
  • VPN-Protokolle
  • Ressourcenprotokolle
  • IP-Repository-Protokolle
  • Druckerprotokolle

Anwendungsüberwachung

  • Authentifizierungsprotokolle
  • IP-Repository-Protokolle
  • Dateifreigabeprotokolle
  • Betriebssystemprotokolle
  • Ressourcenzugriffsprotokolle

Compliance-Monitoring

  • Web Proxy-Protokolle
  • Verzeichnisservice-Protokolle
  • Endpunktprotokolle
  • Authentifizierungsprotokolle
  • IP-Repository-Protokolle
  • Dateifreigabeprotokolle
  • Betriebssystemprotokolle
  • Ressourcenzugriffsprotokolle

Lizenzierung

Mit der LogPoint UEBA-Lizenz können Sie die wichtigsten Benutzer und Entitäten in Ihrem Unternehmen auswählen, sodass Überwachungen nur dort vorgenommen werden, wo es für Sie wirklich wichtig ist.