Bruker- og enhets atferdsanalyse (UEBA): Akseleret deteksjon og respons

Avanserte angrep og gjennomgripende trusler mot organisasjonen din, er ofte av kompromittert legitimasjon eller tvinger brukere til å utføre handlinger som skader bedriftens sikkerhet. For å identifisere disse typer angrep, trenger du en kraftig løsning som lar analytikere raskt bestemme normal kontra unormal aktivitet på nettverket ditt.

UEBA-modellen gir bransjeledende time-to-value, slik at distribusjon samme dag kan skape øyeblikkelig innsikt. Dette er mulig fordi UEBA-modulen vår er bygget på toppen av den mest fleksible og skalerbare SIEM-løsningen på markedet.

Hva er UEBA (Bruker- og enhets atferdsanalyse)?

UEBA, short for User and Entity Behavior Analytics is a security process focusing on monitoring both suspicious user behavior as well as other entities such as cloud, mobile or on-premise applications, endpoints, networks and external threats.

Utilizing Machine Learning, UEBA builds baselines for every entity in the network and actions are then evaluated against these baselines.

This allows analysts to answer the question “What is normal?” and “What is abnormal?” instead of creating complicated predefined rules to define “What is allowed?” enabling analysts to achieve situational awareness before, during and after responding to breaches.

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch

Gir verdi til organisasjonen din

Vi er her for å effektivisere sikkerhetsanalysene dine ved å tilby bedre oppdagelsesfunksjoner enn noen gang og samtidig redusere utmattelse.

Med UEBA 2.0 kan mistenkelig brukeratferd oppdages i skyen, på stedet og i forretningsapplikasjoner – med en unik time-to-value.

  • Reduserer drastisk oppdagelsestiden for utbrudd av skadelig programvare ved å bruke algoritme drevet analyse for å oppdage beacons, lateral bevegelse eller våpenisering.
  • Utfallet fra UEBA-modulen kan være korrelert med SIEM-hendelser, noe som gjør de opprinnelige hendelsene mer innsiktsfulle enn noensinne.
  • Oppdag mistenkelig brukeratferd ved å statisk eller dynamisk berike de opprinnelige loggdataene ved hjelp av informasjon fra maskinlæring.
  • Hendelser kan visualiseres ved hjelp av dashbord og søkemaler for raskere threat hunting

Unik time-to-value

Kjør modulen direkte i LogPoint uten integrasjonsbehov og uten behovet for dempe og justere regler for statisk deteksjon.

Kryptert dataoverføring

For sikkerheten din er data kryptert før de forlater nettverket. Krypteringsnøkkelen holder seg innenfor nettverket ditt, og ingen clear-text data forlater infrastrukturen din.

Få umiddelbart øye på innsidetrusler

Oppdag mistenkelig brukeratferd i skyen, lokalt og inne i forretningsapplikasjoner uten tilpasning, umiddelbart.

Hvordan gjør vi det?

Hvordan gjør vi det?

1. Oversiktsside

Dette gir deg oversikt over risikonivået organisasjonen din er utsatt for. Dette er et bra sted å få en generell oversikt over dine nåværende risikable enheter og å starte en etterforskning hvis noen av brukerne eller enhetene dine viser økt risikoscore. Med LogPoint UEBA gir vi deg øyeblikkelig antall aktive risikofylte enheter, noe som eliminerer kampen for å gre gjennom hver eneste oppdagede anomali.

Oversiktsside
Utforsk-fanen

2. Utforsk-fanen

Når du går videre til fanen Utforsk, kan analytikeren din få en detaljert oversikt over uregelmessigheter med muligheten for å bore ned på ekstrem risiko av bruker eller enhet. Ser vi på ‘Matrix of Anomalies’, kan vi enkelt se at bruker ozell.cruzado har en risikoscore på 100 som indikerer svært mistenkelig aktivitet. La oss se på dette.

Bruker risikoprofil

3. Bruker risikoprofil

Når du ser på brukerens risikoprofil, er det flere viktige ledetråder å være oppmerksom på. Ser vi på ‘Matrix of Anomalies’, kan vi se at brukeren for det meste oppfører seg normalt, men på et eller annet tidspunkt viste oppførselen hans et betydelig avvik fra baseline, noe som resulterte i en økning av risikoscore. Fremover vil vi undersøke hva ‘Matrix of Anomalies’ prøver å vise oss og hva som er arten av den potensielle trusselen.

Bruker risikoprofil ikon
Tidslinje for risikoatferd

4. Tidslinje for risikoatferd

Med LogPoint kan du enkelt filtrere ut hendelsene som forårsaker økt risikoscore, sammen med antall hendelser som er arrangert i en gjennomsiktig tidslinje med risikabel oppførsel.

Kontekst om uvanlig oppførsel

5. Kontekst om uvanlig oppførsel

Ved nærmere undersøkelse, gir UEBA-modulen analytikeren din en detaljert kontekst om hvorfor brukerens oppførsel er svært uvanlig basert på deres individuelle baseline og peer-oppførsel. Hvis du går enda lenger, kan du også utforske raw hendelser.

kontekst om uvanlig oppførsel

Kraften til UEBA og SIEM

When a SIEM solution, enhanced with top-notch security analytics, supports analysts in threat hunting, time spent on eliminating false positives is drastically decreased, empowering your team to focus on threats which really matter.

Having SIEM as a data source supported by security analytics not only provides a more valuable pool of log data, but it also enables your SOC team to work smarter, not harder by cutting detection and response time in half.

UEBA 2.0 easily connects to LogPoint through a plugin. As a result, there is no need to do any mapping or customization which lowers time to value dramatically.

The deployment architecture is easily scalable for increasing the number of entities and data volume. Our common taxonomy readily gives access to over 400 machine learning models for all devices.

Detected anomalies are used as enrichment sources. Since logs and raw logs can easily be investigated based on the detected anomalies, investigation and forensics can take place immediately.

Med UEBA 2.0, vil analytikerne ha nytte av:

Dramatisk økning i threat hunting funksjonene til SIEM med UEBA
Med UEBA får LogPoint-reglene dine en ny bestevenn: Enhet risikoscore. Med enhet risikoscore konsumerer advarsler, dashboards, rapporter og søkemaler all kunnskap fra UEBA.

Ingen flere forhåndsdefinerte regler
Bruk av trusselmodellering, basert på avansert maskinlæring, eliminerer LogPoint UEBA enkelt falske positive, slik at analytikerne dine kan oppnå situasjonsbevissthet før, under og etter å ha svart på brudd – noe som betyr at de er mer effektive og bruker tiden sin på ekte trusler. Hvis det oppstår endringer i atferden, justeres modellene automatisk og sletter den kjedelige oppgaven med å omskrive regler for å definere hva som er tillat.

Problemfri distribusjon
I motsetning til andre løsninger vil UEBA 2.0-plattformen være tilgjengelig som en tjeneste, og dermed fjerne unødvendige problemer for maskinvare og distribusjon.

Oppdag brukerbaserte trusler med UEBA 2.0: Forhåndsdefinerte brukstilfeller

Våre forhåndsdefinerte brukstilfeller muliggjør rask verdi uten tidskrevende konfigurasjon. Vi støtter alle kritiske funksjoner for UEBA fra det bredeste settet med datakilder på markedet.

Siden UEBA-modeller og maskinlæring er bygget på LogPoint-taksonomien, er det ikke nødvendig med endringer i infrastrukturen for å gi kilder til UEBA-analyse. Kildene som allerede er tilgjengelige i LogPoint SIEM er klare for å gi øyeblikkelig verdi til UEBA.

Med LogPoint UEBA 2.0, får du følgende funksjoner med umiddelbar funksjonalitet:

Kompromittert konto

  • Autentisering logger
  • Katalog tjeneste logger
  • Operativ system logger
  • Fildeling logger
  • VPN logger
  • Ressurs tilgang logger
  • Operativ system logger
  • IP arkiv logger

Kompromittert maskin

  • Web Prox logger
  • Katalog tjeneste logger
  • Endepunkt logger

Intern rekonstruksjon

  • Autentisering logger
  • IP arkiv logger
  • Fildeling logger
  • Operativ system logger
  • Ressurs tilgang logger
  • Endepunkt logger

Lateral bevegelse

  • Autentisering logger
  • IP arkiv logger
  • Fildeling logger
  • Operativ system logger
  • Ressurs tilgang logger
  • Endepunkt logger

Data staging/tyveri

  • Endepunkt logger
  • Katalog tjeneste logger
  • IP arkiv logger
  • Skriver logger
  • Web Proxy logger

Misbruk av kontoer

  • Autentisering logger
  • Katalog tjeneste logger
  • Endepunkt logger
  • Operasjon system logger
  • Fildeling logger
  • VPN logger
  • Ressurs logger
  • IP arkiv logger
  • Skriver logger

Internal rekonstruksjon

  • Autentisering logger
  • IP arkiv logger
  • Fildeling logger
  • Operasjon system logger
  • Ressurs tilgang logger
  • Endepunkt logger

Data staging/tyveri

  • Endepunkt logger
  • Katalog tjeneste logger
  • IP arkiv logger
  • Skriver logger
  • Web Proxy logger

Privilegert bruker overvåkning

  • Autentisering logger
  • Katalog tjeneste logger
  • Endepunkt logger
  • Operasjon system logger
  • Fildeling logger
  • VPN logger
  • Ressurs logger
  • IP arkiv logger
  • Skriver logger

Applikasjon overvåkning

  • Autentisering logger
  • IP lagring logger
  • Fildeling logger
  • Operasjon system logger
  • Ressurs tilgang logger

Compliance overvåkning

  • Web Proxy logger
  • Katalog tjeneste logger
  • Endepunkt logger
  • Autentisering logger
  • IP arkiv logger
  • Fildeling logger
  • Operasjon system logger
  • Ressurs tilgang logger

Lisensiering

Med LogPoint UEBA-lisensiering kan du velge de viktigste brukerne og enhetene i organisasjonen din, slik at du bare overvåker hvor det virkelig betyr noe for deg.