Bruker- og enhets atferdsanalyse (UEBA): Akseleret deteksjon og respons
Avanserte angrep og gjennomgripende trusler mot organisasjonen din, er ofte av kompromittert legitimasjon eller tvinger brukere til å utføre handlinger som skader bedriftens sikkerhet. For å identifisere disse typer angrep, trenger du en kraftig løsning som lar analytikere raskt bestemme normal kontra unormal aktivitet på nettverket ditt.
UEBA-modellen gir bransjeledende time-to-value, slik at distribusjon samme dag kan skape øyeblikkelig innsikt. Dette er mulig fordi UEBA-modulen vår er bygget på toppen av den mest fleksible og skalerbare SIEM-løsningen på markedet.
Hva er UEBA (Bruker- og enhets atferdsanalyse)?
UEBA, short for User and Entity Behavior Analytics is a security process focusing on monitoring both suspicious user behavior as well as other entities such as cloud, mobile or on-premise applications, endpoints, networks and external threats.
Utilizing Machine Learning, UEBA builds baselines for every entity in the network and actions are then evaluated against these baselines.
This allows analysts to answer the question “What is normal?” and “What is abnormal?” instead of creating complicated predefined rules to define “What is allowed?” enabling analysts to achieve situational awareness before, during and after responding to breaches.
Get in touch with us and learn why leading brands choose LogPoint:
Gir verdi til organisasjonen din
Vi er her for å effektivisere sikkerhetsanalysene dine ved å tilby bedre oppdagelsesfunksjoner enn noen gang og samtidig redusere utmattelse.
Med UEBA 2.0 kan mistenkelig brukeratferd oppdages i skyen, på stedet og i forretningsapplikasjoner – med en unik time-to-value.
- Reduserer drastisk oppdagelsestiden for utbrudd av skadelig programvare ved å bruke algoritme drevet analyse for å oppdage beacons, lateral bevegelse eller våpenisering.
- Utfallet fra UEBA-modulen kan være korrelert med SIEM-hendelser, noe som gjør de opprinnelige hendelsene mer innsiktsfulle enn noensinne.
- Oppdag mistenkelig brukeratferd ved å statisk eller dynamisk berike de opprinnelige loggdataene ved hjelp av informasjon fra maskinlæring.
- Hendelser kan visualiseres ved hjelp av dashbord og søkemaler for raskere threat hunting
Unik time-to-value
Kjør modulen direkte i LogPoint uten integrasjonsbehov og uten behovet for dempe og justere regler for statisk deteksjon.
Kryptert dataoverføring
For sikkerheten din er data kryptert før de forlater nettverket. Krypteringsnøkkelen holder seg innenfor nettverket ditt, og ingen clear-text data forlater infrastrukturen din.
Få umiddelbart øye på innsidetrusler
Oppdag mistenkelig brukeratferd i skyen, lokalt og inne i forretningsapplikasjoner uten tilpasning, umiddelbart.
Hvordan gjør vi det?
1. Oversiktsside
Dette gir deg oversikt over risikonivået organisasjonen din er utsatt for. Dette er et bra sted å få en generell oversikt over dine nåværende risikable enheter og å starte en etterforskning hvis noen av brukerne eller enhetene dine viser økt risikoscore. Med LogPoint UEBA gir vi deg øyeblikkelig antall aktive risikofylte enheter, noe som eliminerer kampen for å gre gjennom hver eneste oppdagede anomali.
2. Utforsk-fanen
Når du går videre til fanen Utforsk, kan analytikeren din få en detaljert oversikt over uregelmessigheter med muligheten for å bore ned på ekstrem risiko av bruker eller enhet. Ser vi på ‘Matrix of Anomalies’, kan vi enkelt se at bruker ozell.cruzado har en risikoscore på 100 som indikerer svært mistenkelig aktivitet. La oss se på dette.
3. Bruker risikoprofil
Når du ser på brukerens risikoprofil, er det flere viktige ledetråder å være oppmerksom på. Ser vi på ‘Matrix of Anomalies’, kan vi se at brukeren for det meste oppfører seg normalt, men på et eller annet tidspunkt viste oppførselen hans et betydelig avvik fra baseline, noe som resulterte i en økning av risikoscore. Fremover vil vi undersøke hva ‘Matrix of Anomalies’ prøver å vise oss og hva som er arten av den potensielle trusselen.
Kraften til UEBA og SIEM
When a SIEM solution, enhanced with top-notch security analytics, supports analysts in threat hunting, time spent on eliminating false positives is drastically decreased, empowering your team to focus on threats which really matter.
Having SIEM as a data source supported by security analytics not only provides a more valuable pool of log data, but it also enables your SOC team to work smarter, not harder by cutting detection and response time in half.
UEBA 2.0 easily connects to LogPoint through a plugin. As a result, there is no need to do any mapping or customization which lowers time to value dramatically.
The deployment architecture is easily scalable for increasing the number of entities and data volume. Our common taxonomy readily gives access to over 400 machine learning models for all devices.
Detected anomalies are used as enrichment sources. Since logs and raw logs can easily be investigated based on the detected anomalies, investigation and forensics can take place immediately.
Med UEBA 2.0, vil analytikerne ha nytte av:
Dramatisk økning i threat hunting funksjonene til SIEM med UEBA
Med UEBA får LogPoint-reglene dine en ny bestevenn: Enhet risikoscore. Med enhet risikoscore konsumerer advarsler, dashboards, rapporter og søkemaler all kunnskap fra UEBA.
Ingen flere forhåndsdefinerte regler
Bruk av trusselmodellering, basert på avansert maskinlæring, eliminerer LogPoint UEBA enkelt falske positive, slik at analytikerne dine kan oppnå situasjonsbevissthet før, under og etter å ha svart på brudd – noe som betyr at de er mer effektive og bruker tiden sin på ekte trusler. Hvis det oppstår endringer i atferden, justeres modellene automatisk og sletter den kjedelige oppgaven med å omskrive regler for å definere hva som er tillat.
Problemfri distribusjon
I motsetning til andre løsninger vil UEBA 2.0-plattformen være tilgjengelig som en tjeneste, og dermed fjerne unødvendige problemer for maskinvare og distribusjon.
Oppdag brukerbaserte trusler med UEBA 2.0: Forhåndsdefinerte brukstilfeller
Våre forhåndsdefinerte brukstilfeller muliggjør rask verdi uten tidskrevende konfigurasjon. Vi støtter alle kritiske funksjoner for UEBA fra det bredeste settet med datakilder på markedet.
Siden UEBA-modeller og maskinlæring er bygget på LogPoint-taksonomien, er det ikke nødvendig med endringer i infrastrukturen for å gi kilder til UEBA-analyse. Kildene som allerede er tilgjengelige i LogPoint SIEM er klare for å gi øyeblikkelig verdi til UEBA.
Med LogPoint UEBA 2.0, får du følgende funksjoner med umiddelbar funksjonalitet:
Kompromittert konto
- Autentisering logger
- Katalog tjeneste logger
- Operativ system logger
- Fildeling logger
- VPN logger
- Ressurs tilgang logger
- Operativ system logger
- IP arkiv logger
Kompromittert maskin
- Web Prox logger
- Katalog tjeneste logger
- Endepunkt logger
Intern rekonstruksjon
- Autentisering logger
- IP arkiv logger
- Fildeling logger
- Operativ system logger
- Ressurs tilgang logger
- Endepunkt logger
Lateral bevegelse
- Autentisering logger
- IP arkiv logger
- Fildeling logger
- Operativ system logger
- Ressurs tilgang logger
- Endepunkt logger
Data staging/tyveri
- Endepunkt logger
- Katalog tjeneste logger
- IP arkiv logger
- Skriver logger
- Web Proxy logger
Misbruk av kontoer
- Autentisering logger
- Katalog tjeneste logger
- Endepunkt logger
- Operasjon system logger
- Fildeling logger
- VPN logger
- Ressurs logger
- IP arkiv logger
- Skriver logger
Internal rekonstruksjon
- Autentisering logger
- IP arkiv logger
- Fildeling logger
- Operasjon system logger
- Ressurs tilgang logger
- Endepunkt logger
Data staging/tyveri
- Endepunkt logger
- Katalog tjeneste logger
- IP arkiv logger
- Skriver logger
- Web Proxy logger
Privilegert bruker overvåkning
- Autentisering logger
- Katalog tjeneste logger
- Endepunkt logger
- Operasjon system logger
- Fildeling logger
- VPN logger
- Ressurs logger
- IP arkiv logger
- Skriver logger
Applikasjon overvåkning
- Autentisering logger
- IP lagring logger
- Fildeling logger
- Operasjon system logger
- Ressurs tilgang logger
Compliance overvåkning
- Web Proxy logger
- Katalog tjeneste logger
- Endepunkt logger
- Autentisering logger
- IP arkiv logger
- Fildeling logger
- Operasjon system logger
- Ressurs tilgang logger
Lisensiering
Med LogPoint UEBA-lisensiering kan du velge de viktigste brukerne og enhetene i organisasjonen din, slik at du bare overvåker hvor det virkelig betyr noe for deg.