Analyses comportementales des utilisateurs et des entités (UEBA) : détection et réponse accélérées

Les attaques avancées et les menaces omniprésentes qui pèsent sur votre entreprise reposent souvent sur des identifiants compromis ou conduisant les utilisateurs à effectuer des actions qui nuisent à la sécurité de l’entreprise. Pour identifier ces types d’attaque, vos analystes ont besoin d’une solution puissante qui leur permet de déterminer rapidement toute activité anormale sur votre réseau.

Offrant une valeur ajoutée sans précédent, notre module UEBA peut être déployé le jour même, sans services professionnels, et fournir immédiatement de précieuses informations. Cela est possible car notre module UEBA est construit sur la solution SIEM la plus souple et la plus évolutive du marché.

Avec UEBA 2.0, vos analystes bénéficieront des atouts suivants :

Augmentation sensible des ressources de traque des menaces de votre solution SIEM enrichie par le module UEBA
Avec UEBA, vos règles LogPoint ont une nouvelle alliée : l’évaluation des risques au niveau de l’entité (Entity Risk Scoring). Grâce à cette fonctionnalité, vos alertes, tableaux de bord, rapports et modèles de recherche utilisent tous des renseignements fournis par le module UEBA.

Finies les règles prédéfinies
À l’aide de la modélisation des menaces qui s’appuie sur un apprentissage automatique avancé, le module UEBA associé à la solution SIEM LogPoint supprime facilement les faux positifs et permet à vos analystes de prendre conscience de la situation avant, pendant et après la réponse aux violations, ce qui les rend plus efficaces et leur permet de se consacrer aux vraies menaces. En cas de changement de comportement, les modèles sont ajustés automatiquement. Finies les tâches fastidieuses de réécriture des règles pour définir ce qui est autorisé.

Un déploiement sans tracas
Contrairement à d’autres solutions, la plateforme UEBA 2.0 sera disponible sous la forme de service pour vous éviter tout tracas inutile lié au matériel et au déploiement.

Faits concernant UEBA

UEBA, pour Analyses comportementales des utilisateurs et des entités, est un processus de sécurité dédié à la surveillance des comportements utilisateurs suspects ainsi que d’autres entités telles que le Cloud, les applications mobiles ou sur site, les terminaux, les réseaux et les menaces externes.

Utilisant l’apprentissage automatique, le module UEBA établit des lignes directrices pour chaque entité du réseau avant de lancer des actions par rapport à ces mêmes critères.

Les analystes peuvent ainsi déterminer si une activité est normale ou anormale plutôt que de créer des règles prédéfinies compliquées pour définir ce qui est autorisé. Ceci leur permet d’avoir une conscience situationnelle avant, pendant et après la réaction aux violations.

Apporter de la valeur ajoutée à votre entreprise

UEBA 2.0 détecte les comportements utilisateurs suspects aussi bien dans le Cloud que sur site et au sein des applications métier, le tout avec une rentabilité inédite.

  • Réduction importante du temps de détection des attaques à base de malware grâce à des analyses pilotées par un algorithme pour détecter le balisage, les mouvements latéraux ou l’utilisation de ressources comme armes.
  • Possibilité de corréler les résultats générés par le module UEBA avec des événements SIEM pour rendre les événements bruts encore plus pertinents que jamais.

    Découverte de comportements utilisateurs suspects en enrichissant de manière statique ou dynamique les données des logs bruts à l’aide d’informations générées par l’apprentissage automatique.

    Possibilité de visualiser les incidents au moyen de tableaux de bord et de modèles de recherche pour accélérer la traque des menaces.

La puissance d’UEBA alliée au SIEM

Une solution SIEM appuyée par des ressources d’analyse de sécurité à la pointe de la technologie permet aux analystes de traquer les menaces et d’éliminer les faux positifs beaucoup plus vite, si bien que votre équipe peut se concentrer sur les vraies menaces.
Utiliser une solution SIEM comme source de données supportée par des ressources d’analyse de sécurité, fournit un ensemble de données de log plus riche et permet à votre équipe SOC de travailler plus intelligemment, et non pas plus dur, en réduisant de moitié le temps de détection et de réponse.
UEBA 2.0 se connecte facilement à LogPoint via un plug-in. Inutile donc de procéder à une cartographie ou à une personnalisation qui impacterait sensiblement la rentabilité.

L’architecture de déploiement peut évoluer facilement pour intégrer un nombre d’entités et un volume de données plus importants. Notre taxonomie unique donne accès à plus de 400 modèles d’apprentissage automatique pour tous les équipements.
Les anomalies détectées sont aussi une source d’enrichissement. En effet, pouvoir analyser facilement les logs, notamment des logs bruts, à partir des anomalies détectées permet de lancer immédiatement des opérations de recherche et d’enquête à caractère scientifique.

Comment ça marche ?

1. La page Overview (Aperçu)

Cette page vous donne un aperçu du niveau de risque auquel votre entreprise est exposée. Elle vous permet de visualiser vos entités actuellement à risque et de lancer une enquête si l’un de vos utilisateurs ou l’une de vos entités indique un niveau de risque accru. Grâce à LogPoint associé à UEBA, nous vous communiquons instantanément le nombre d’entités à risque qui sont actives, ce qui vous évite de devoir passer au peigne fin chacune des anomalies détectées.

2. L’onglet Explore (Exploration)

L’onglet Explore offre à votre analyste une vue détaillée des anomalies et la possibilité d’explorer en détail les risques extrêmes par utilisateur ou entité. En consultant la matrice des anomalies, nous constatons facilement que l’utilisateur ozell.cruzado a un score de risque de 100, ce qui indique une activité hautement suspecte. Penchons-nous sur son cas.

3. Profil de risque de l’utilisateur

Lorsqu’on étudie le profil de risque de l’utilisateur, plusieurs points importants doivent attirer notre attention. En consultant la matrice des anomalies, nous constatons que l’utilisateur ozell.cruzado se comporte globalement bien mais qu’à un certain niveau son comportement dévie largement par rapport à la norme, d’où une augmentation de son score de risque. En progressant, nous explorons ce que la matrice des anomalies tente de nous montrer exactement ainsi que la nature de la menace potentielle.

4. Chronologie du comportement à risque

Grâce à LogPoint, vous pouvez filtrer facilement les événements qui augmentent le score de risque ainsi que le nombre d’événements présentés dans une chronologie transparente des comportements à risque.

5. Contexte d’un comportement utilisateur inhabituel

À des fins d’enquête approfondie, le module UEBA fournit du contexte détaillé à votre analyste sur les raisons du comportement tout à fait inhabituel d’un utilisateur par rapport à son profil individuel et au comportement de ses collègues. Il est même possible d’explorer les événements bruts.

Détectez les menaces liées aux utilisateurs avec les cas d’utilisation prédéfinis dans UEBA 2.0

Nos cas d’utilisation prédéfinis offrent une valeur rapide sans configuration fastidieuse. Nous prenons directement en charge toutes les fonctionnalités critiques d’UEBA à partir de l’ensemble de sources de données le plus large du marché.

Comme les modèles UEBA et l’apprentissage automatique s’appuient sur la taxonomie délivrée par LogPoint, aucune modification de votre infrastructure n’est requise pour fournir des sources destinées à l’analyse UEBA. Les sources déjà disponibles dans votre SIEM LogPoint permettent d’ajouter instantanément de la valeur à votre module UEBA.

Grâce à UEBA 2.0 fourni par LogPoint, les fonctionnalités suivantes seront directement disponibles :

Use caseSources
Outside to inside attack
Compromised account
  • Authentication Logs
  • Directory Service Logs
  • Operating System Logs
  • File Share Logs
  • VPN Logs
  • Resource Access Logs
  • Operating System Logs
  • IP Repository Logs
Compromised machine
  • Web Prox Logs
  • Directory Service Logs
  • Endpoint Logs
Internal recon
  • Authentication Logs
  • IP Repository Logs
  • File Share Logs
  • Operating System Logs
  • Resource Access Logs
  • Endpoint Logs
Lateral movement
  • Authentication Logs
  • IP Repository Logs
  • File Share Logs
  • Operating System Logs
  • Resource Access Logs
  • Endpoint Logs
Data staging/theft
  • Endpoint Logs
  • Directory Service Logs
  • IP Repository Logs
  • Printer Logs
  • Web Proxy Logs
Insider attack
Account misuse
  • Authentication Logs
  • Directory Service Logs
  • Endpoint Logs
  • Operation System Logs
  • File Share Logs
  • VPN Logs
  • Resource Logs
  • IP Repository Logs
  • Printer Logs
Internal recon
  • Authentication Logs
  • IP Repository Logs
  • File Share Logs
  • Operating System Logs
  • Resource Access Logs
  • Endpoint Logs
Data staging/theft
  • Endpoint Logs
  • Directory Service Logs
  • IP Repository Logs
  • Printer Logs
  • Web Proxy Logs
Monitoring and compliance
Privileged user monitoring
  • Authentication Logs
  • Directory Service Logs
  • Endpoint Logs
  • Operation System Logs
  • File Share Logs
  • VPN Logs
  • Resource Logs
  • IP Repository Logs
  • Printer Logs
Application monitoring
  • Authentication Logs
  • IP Repository Logs
  • File Share Logs
  • Operating System Logs
  • Resource Access Logs
Compliance monitoring
  • Web Proxy Logs
  • Directory Service Logs
  • Endpoint Logs
  • Authentication Logs
  • IP Repository Logs
  • File Share Logs
  • Operating System Logs
  • Resources Access Logs

Licence

Avec les licences LogPoint UEBA, vous pouvez choisir les utilisateurs et les entités les plus importants de votre organisation, afin que vous ne surveilliez que les domaines qui comptent pour vous.