Analyses comportementales des utilisateurs et des entités (UEBA) : détection et réponse accélérées

Les attaques avancées et les menaces omniprésentes qui pèsent sur votre entreprise reposent souvent sur des identifiants compromis ou conduisant les utilisateurs à effectuer des actions qui nuisent à la sécurité de l’entreprise. Pour identifier ces types d’attaque, vos analystes ont besoin d’une solution puissante qui leur permet de déterminer rapidement toute activité anormale sur votre réseau.

Offrant une valeur ajoutée sans précédent, notre module UEBA peut être déployé le jour même, sans services professionnels, et fournir immédiatement de précieuses informations. Cela est possible car notre module UEBA est construit sur la solution SIEM la plus souple et la plus évolutive du marché.

Faits concernant UEBA

UEBA, pour Analyses comportementales des utilisateurs et des entités, est un processus de sécurité dédié à la surveillance des comportements utilisateurs suspects ainsi que d’autres entités telles que le Cloud, les applications mobiles ou sur site, les terminaux, les réseaux et les menaces externes.

Utilisant l’apprentissage automatique, le module UEBA établit des lignes directrices pour chaque entité du réseau avant de lancer des actions par rapport à ces mêmes critères.

Les analystes peuvent ainsi déterminer si une activité est normale ou anormale plutôt que de créer des règles prédéfinies compliquées pour définir ce qui est autorisé. Ceci leur permet d’avoir une conscience situationnelle avant, pendant et après la réaction aux violations.

Demandez une démo

Voulez-vous voir par vous-même comment LogPoint a redéfini le SIEM et UEBA ? Planifiez une démo ci-dessous et découvrez comment LogPoint fonctionne avec différentes sources de données.

Apporter de la valeur ajoutée à votre entreprise

UEBA 2.0 détecte les comportements utilisateurs suspects aussi bien dans le Cloud que sur site et au sein des applications métier, le tout avec une rentabilité inédite.

  • Réduction importante du temps de détection des attaques à base de malware grâce à des analyses pilotées par un algorithme pour détecter le balisage, les mouvements latéraux ou l’utilisation de ressources comme armes.
  • Possibilité de corréler les résultats générés par le module UEBA avec des événements SIEM pour rendre les événements bruts encore plus pertinents que jamais.

    Découverte de comportements utilisateurs suspects en enrichissant de manière statique ou dynamique les données des logs bruts à l’aide d’informations générées par l’apprentissage automatique.

    Possibilité de visualiser les incidents au moyen de tableaux de bord et de modèles de recherche pour accélérer la traque des menaces.

Valeur ajoutée sans précédent

Lancez le module UEBA directement depuis LogPoint sans aucune intégration ni optimisation ou ajustement des règles de détection statiques.

Transfert de données chiffrées

Pour votre sécurité, les données sont chiffrées avant de quitter le réseau. La clé de chiffrement reste sur votre réseau et aucune donnée en clair ne quitte votre infrastructure.

Détection immédiate des menaces internes

Repérez tout comportement utilisateur suspect aussi bien dans le Cloud que sur site et au sein des applications métier, le tout sans personnalisation ni délai.

Comment ça marche ?

LogPoint UEBA Overview Page

1. La page Overview (Aperçu)

Cette page vous donne un aperçu du niveau de risque auquel votre entreprise est exposée. Elle vous permet de visualiser vos entités actuellement à risque et de lancer une enquête si l’un de vos utilisateurs ou l’une de vos entités indique un niveau de risque accru. Grâce à LogPoint associé à UEBA, nous vous communiquons instantanément le nombre d’entités à risque qui sont actives, ce qui vous évite de devoir passer au peigne fin chacune des anomalies détectées.

LogPoint UEBA Overview Page
LogPoint UEBA Explore Tab

2. L’onglet Explore (Exploration)

L’onglet Explore offre à votre analyste une vue détaillée des anomalies et la possibilité d’explorer en détail les risques extrêmes par utilisateur ou entité. En consultant la matrice des anomalies, nous constatons facilement que l’utilisateur ozell.cruzado a un score de risque de 100, ce qui indique une activité hautement suspecte. Penchons-nous sur son cas.

LogPoint UEBA User Risk Profile

3. Profil de risque de l’utilisateur

Lorsqu’on étudie le profil de risque de l’utilisateur, plusieurs points importants doivent attirer notre attention. En consultant la matrice des anomalies, nous constatons que l’utilisateur ozell.cruzado se comporte globalement bien mais qu’à un certain niveau son comportement dévie largement par rapport à la norme, d’où une augmentation de son score de risque. En progressant, nous explorons ce que la matrice des anomalies tente de nous montrer exactement ainsi que la nature de la menace potentielle.

LogPoint UEBA User Risk Profile
LogPoint UEBA Risk Behavior Timeline dashboard

4. Chronologie du comportement à risque

Grâce à LogPoint, vous pouvez filtrer facilement les événements qui augmentent le score de risque ainsi que le nombre d’événements présentés dans une chronologie transparente des comportements à risque.

LogPoint UEBA Context on Unusual User Behavior

5. Contexte d’un comportement utilisateur inhabituel

À des fins d’enquête approfondie, le module UEBA fournit du contexte détaillé à votre analyste sur les raisons du comportement tout à fait inhabituel d’un utilisateur par rapport à son profil individuel et au comportement de ses collègues. Il est même possible d’explorer les événements bruts.

LogPoint UEBA Context on Unusual User Behavior

La puissance d’UEBA alliée au SIEM

Une solution SIEM appuyée par des ressources d’analyse de sécurité à la pointe de la technologie permet aux analystes de traquer les menaces et d’éliminer les faux positifs beaucoup plus vite, si bien que votre équipe peut se concentrer sur les vraies menaces.
Utiliser une solution SIEM comme source de données supportée par des ressources d’analyse de sécurité, fournit un ensemble de données de log plus riche et permet à votre équipe SOC de travailler plus intelligemment, et non pas plus dur, en réduisant de moitié le temps de détection et de réponse.
UEBA 2.0 se connecte facilement à LogPoint via un plug-in. Inutile donc de procéder à une cartographie ou à une personnalisation qui impacterait sensiblement la rentabilité.

L’architecture de déploiement peut évoluer facilement pour intégrer un nombre d’entités et un volume de données plus importants. Notre taxonomie unique donne accès à plus de 400 modèles d’apprentissage automatique pour tous les équipements.
Les anomalies détectées sont aussi une source d’enrichissement. En effet, pouvoir analyser facilement les logs, notamment des logs bruts, à partir des anomalies détectées permet de lancer immédiatement des opérations de recherche et d’enquête à caractère scientifique.

Offrant une valeur ajoutée sans précédent, notre module UEBA peut être déployé le jour même, sans services professionnels, et fournir immédiatement de précieuses informations. Cela est possible car notre module UEBA est construit sur la solution SIEM la plus souple et la plus évolutive du marché.

Avec UEBA 2.0, vos analystes bénéficieront des atouts suivants :

Augmentation sensible des ressources de traque des menaces de votre solution SIEM enrichie par le module UEBA
Avec UEBA, vos règles LogPoint ont une nouvelle alliée : l’évaluation des risques au niveau de l’entité (Entity Risk Scoring). Grâce à cette fonctionnalité, vos alertes, tableaux de bord, rapports et modèles de recherche utilisent tous des renseignements fournis par le module UEBA.

Finies les règles prédéfinies
À l’aide de la modélisation des menaces qui s’appuie sur un apprentissage automatique avancé, le module UEBA associé à la solution SIEM LogPoint supprime facilement les faux positifs et permet à vos analystes de prendre conscience de la situation avant, pendant et après la réponse aux violations, ce qui les rend plus efficaces et leur permet de se consacrer aux vraies menaces. En cas de changement de comportement, les modèles sont ajustés automatiquement. Finies les tâches fastidieuses de réécriture des règles pour définir ce qui est autorisé.

Un déploiement sans tracas
Contrairement à d’autres solutions, la plateforme UEBA 2.0 sera disponible sous la forme de service pour vous éviter tout tracas inutile lié au matériel et au déploiement.

Détectez les menaces liées aux utilisateurs avec les cas d’utilisation prédéfinis dans UEBA 2.0

Nos cas d’utilisation prédéfinis offrent une valeur rapide sans configuration fastidieuse. Nous prenons directement en charge toutes les fonctionnalités critiques d’UEBA à partir de l’ensemble de sources de données le plus large du marché.

Comme les modèles UEBA et l’apprentissage automatique s’appuient sur la taxonomie délivrée par LogPoint, aucune modification de votre infrastructure n’est requise pour fournir des sources destinées à l’analyse UEBA. Les sources déjà disponibles dans votre SIEM LogPoint permettent d’ajouter instantanément de la valeur à votre module UEBA.

Grâce à UEBA 2.0 fourni par LogPoint, les fonctionnalités suivantes seront directement disponibles :

Compromised account

  • Authentication Logs
  • Directory Service Logs
  • Operating System Logs
  • File Share Logs
  • VPN Logs
  • Resource Access Logs
  • Operating System Logs
  • IP Repository Logs

Compromised machine

  • Web Prox Logs
  • Directory Service Logs
  • Endpoint Logs

Internal recon

  • Authentication Logs
  • IP Repository Logs
  • File Share Logs
  • Operating System Logs
  • Resource Access Logs
  • Endpoint Logs

Lateral movement

  • Authentication Logs
  • IP Repository Logs
  • File Share Logs
  • Operating System Logs
  • Resource Access Logs
  • Endpoint Logs

Data staging/theft

  • Endpoint Logs
  • Directory Service Logs
  • IP Repository Logs
  • Printer Logs
  • Web Proxy Logs

Account misuse

  • Authentication Logs
  • Directory Service Logs
  • Endpoint Logs
  • Operation System Logs
  • File Share Logs
  • VPN Logs
  • Resource Logs
  • IP Repository Logs
  • Printer Logs

Internal recon

  • Authentication Logs
  • IP Repository Logs
  • File Share Logs
  • Operating System Logs
  • Resource Access Logs
  • Endpoint Logs

Data staging/theft

  • Endpoint Logs
  • Directory Service Logs
  • IP Repository Logs
  • Printer Logs
  • Web Proxy Logs

Privileged user monitoring

  • Authentication Logs
  • Directory Service Logs
  • Endpoint Logs
  • Operation System Logs
  • File Share Logs
  • VPN Logs
  • Resource Logs
  • IP Repository Logs
  • Printer Logs

Application monitoring

  • Authentication Logs
  • IP Repository Logs
  • File Share Logs
  • Operating System Logs
  • Resource Access Logs

Compliance monitoring

  • Web Proxy Logs
  • Directory Service Logs
  • Endpoint Logs
  • Authentication Logs
  • IP Repository Logs
  • File Share Logs
  • Operating System Logs
  • Resources Access Logs

Licence

Avec les licences LogPoint UEBA, vous pouvez choisir les utilisateurs et les entités les plus importants de votre organisation, afin que vous ne surveilliez que les domaines qui comptent pour vous.