UEBA (User and Entity Behavior Analytics): Accelererad identifiering och respons

Avancerade attacker och genomgripande hot mot din organisation förlitar sig ofta på komprometterade autentiseringsuppgifter eller där användare blir övertalade att utföra åtgärder som skadar verksamhetens säkerhet. För att identifiera dessa typer av attacker behöver du en kraftfull lösning som gör att analytiker snabbt kan fastställa normal kontra onormal aktivitet för nätverket i fråga.

UEBA-modulen erbjuder branschledande time-to-value, vilket möjliggör distribution samma dag för att på så sätt kunna skapa omedelbara insikter. Detta är möjligt eftersom vår UEBA-modul är bygger på den mest flexibla och skalbara SIEM-lösningen på marknaden.

Vad är UEBA (User and Entity Behavior Analytics)?

UEBA, User and Entity Behavior Analytics är en säkerhetsprocess med fokus på övervakning av såväl misstänksamma användarbeteenden som andra entiteter såsom moln-, mobil- eller lokalt installerade applikationer, slutpunkter, nätverk och externa hot.

Genom att utnyttja maskininlärning kan UEBA bygga basnivåer för varje entitet i nätverket och åtgärderna utvärderas sedan mot dessa basnivåer.

Detta gör det möjligt för analytiker att fastställa ”Vad är normalt?” och ”Vad är onormalt?” istället för att skapa komplicerade fördefinierade regler för att definiera ”Vad är tillåtet?” som gör det möjligt för analytiker att uppnå situationsmedvetenhet före, under och efter att ha reagerat på säkerhetsöverträdelser.

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch

Mervärde för din organisation

Vi finns här för att göra säkerhetsanalys effektivare genom att tillhandahålla exceptionella identifieringsfunktioner samtidigt som vi hjälper dig minska överbelastningen av larm. Med UEBA 2.0 kan misstänkt användarbeteende identifieras i molnet, i lokalt installerade applikationer samt i affärsapplikationer– med oöverträffat time-to-value. 

  •  Minska dramatiskt identifieringstiden för malware-utbrott genom att använda algoritmdriven analys för att upptäcka beaconing, laterala rörelser, eller weaponization. 
  • Utdata från UEBA-modulen kan korreleras med SIEM-händelser, vilket gör de ursprungliga händelserna mer insiktsfulla än någonsin. 
  • Upptäck misstänkt användarbeteende genom att statiskt eller dynamiskt berika ursprungliga loggdata med hjälp av information från maskininlärning. 
  • Incidenter kan visualiseras med hjälp av dashboards och sökmallar för snabbare threat hunting.

Oöverträffad time-to-value

Kör modulen direkt i LogPoint utan några integrationsbehov och utan att behöva ställa in och justera regler för statisk identifiering.

Krypterad dataöverföring

För din säkerhet krypteras data innan de lämnar nätverket. Krypteringsnyckeln förblir inom ditt nätverk och ingen klartextdata lämnar din infrastruktur.

Upptäck omedelbart insiderhot

Upptäck omedelbart misstänkt användarbeteende i molnet, lokalt och inom affärsapplikationer utan någon särskild anpassning.

Hur gör vi det?

Hur gör vi det?

1.Översiktssidan

Denna ger dig en översikt över risknivån din organisation utsätts för. Det här är ett bra ställe att få en allmän översikt över dina nuvarande riskabla entiteter och att inleda en undersökning om någon av dina användare eller enheter visar en ökad riskpoäng. Med LogPoint UEBA förser vi dig omedelbart med antalet aktiva riskablaentiteter så att du slipper granska varenda upptäckt avvikelse.

Översiktssidan
Fliken Utforska

2. Utforskningsfliken

Om du går vidare till fliken Utforska kan dina analytiker få en detaljerad översikt över avvikelser med möjlighet att gå  ner på extrem risk av användare eller enheter. När vi tittar på Matrix of Anomalies kan vi enkelt se att användaren ozell.cruzado har en riskpoäng på 100 vilket indikerar mycket misstänkt aktivitet. Låt oss titta på det här.

Användarriskprofil

3. Användarriskprofil

När man tittar på användarens riskprofil finns det flera viktiga ledtrådar att vara uppmärksam på. När vi tittar på Matrix of Anomalies kan vi se att användaren för det mesta betedde sig normalt, men vid något tillfälle visade hans beteende en markant avvikelse från basnivån vilket resulterade i en ökning av hans riskpoäng. Framöver kommer vi att undersöka vad exakt Matrix of Anomalies försöker visa oss och egenskaperna hos det potentiella hotet.

User risk profil icon
Risk behaviour timeline

4. Tidslinje för riskbeteende

Med LogPoint kan du enkelt filtrera bort de händelser som orsakar den ökade riskpoängen, tillsammans med antalet händelser sammanställda i en transparent tidslinje för riskbeteende.

Kontext om ovanligt beteende

5. Sammanhang för avvikande användarbeteende 

Genom ytterligare undersökning ger UEBA-modulen din analytiker ett detaljerat sammanhang om varför användarens beteende är mycket ovanligt baserat på deras individuella baslinje och peer-beteende. Om du går ännu längre kan du också utforska råa händelser.

sammanhang om ovanligt beteende

Kraften i UEBA och SIEM

När en SIEM-lösning som förbättrats med förstklassig säkerhetsanalys som stödjer analytiker vid threat hunting, minskas den tid som spenderas på att eliminera falska positiver dramatiskt, vilket ger ditt team möjlighet att fokusera på hoten av betydelse.

Med SIEM som datakälla som stöds av säkerhetsanalys ger inte bara en mer värdefull pool av loggdata, utan det gör det också möjligt för ditt SOC-team att arbeta smartare genom att halvera identifierings- och responstiden.

UEBA 2.0 ansluts enkelt till LogPoint via ett plugin. Tack vare detta finns det inget behov av att göra någon kartläggning eller anpassning, vilket minskar time-to-value dramatiskt. Driftsättningsarkitekturen kan enkelt skalas upp för att öka antalet entiteter och datavolymer. Vårtgemensamma ramverk ger lätt tillgång till över 400 maskininlärningsmodeller för alla enheter. Upptäckta avvikelser används som berikningskällor. Eftersom loggar och råloggar lätt kan undersökas baserat på de identifierade avvikelserna kan undersökning och forensics utföras omedelbart.

Med UEBA 2.0 får dina analytiker fördelarna av:

Dramatisk ökning av threat hunting-kapacitet i din SIEM med UEBA 

Med UEBA får dina LogPoint-regler en ny bästa vän: Entity Risk Scoring. Med Entity Risk Scoring använderdina larm, dashboards, rapporter och sökmallar kunskap från UEBA.

Inga fler fördefinierade regler 

Med hjälp av hotmodellering baserat på avancerad maskininlärning eliminerar LogPoint UEBA enkelt falska positiver, vilket gör att dina analytiker kan uppnå situationsmedvetenhet före, under och efter intrång – vilket innebär att de är mer effektiva och spenderar sin tid på verkliga hot. Om några beteendeförändringar inträffar justeras modellerna automatiskt för att eliminera behovet av att skriva om regler för att definiera vad som är tillåtet.

Problemfri driftsättning

Till skillnad från andra lösningar finns UEBA 2.0-plattformen tillgänglig som en tjänst, vilket eliminerar onödiga problem med hårdvara och distribution.

Upptäck användarbaserade hot med UEBA 2.0: Fördefinierade användningsfall

Våra fördefinierade användningsfall möjliggör snabbt värde utan den tidskrävande konfigurationen. Direkt ur lådan stöder vi alla kritiska funktioner för UEBA från den bredaste uppsättningen datakällor på marknaden.

Kompromissat konto

  • Autentiseringsloggar
  • Katalogtjänstloggar
  • Operativsystemloggar
  • File Share-loggar
  • VPN-loggar
  • Resursåtkomstloggar
  • Operativsystemloggar
  • IP-arkivloggar

Kompromissad maskin

  • Web Prox-loggar
  • Katalogtjänstloggar
  • Slutpunktsloggar

Intern rekonstruktion

  • Autentiseringsloggar
  • IP-arkivloggar
  • File Share-loggar
  • Operativsystemloggar
  • Resursåtkomstloggar
  • Slutpunktsloggar

Lateral rörelse

  • Autentiseringsloggar
  • IP-arkivloggar
  • File Share-loggar
  • Operativsystemloggar
  • Resursåtkomstloggar
  • Slutpunktsloggar
  • Datainställning / stöld Slutpunktsloggar Katalogtjänstloggar
  • IP-arkivloggar
  • Skrivarloggar
  • Web Proxy-loggar

Konto missbruk

  • Autentiseringsloggar
  • Katalogtjänstloggar
  • Slutpunktsloggar
  • Operationssystemloggar
  • File Share-loggar
  • VPN-loggar
  • Resursloggar
  • IP-arkivloggar
  • Skrivarloggar

Intern rekonstruktion

  • Autentiseringsloggar
  • IP-arkivloggar
  • File Share-loggar
  • Operativsystemloggar
  • Resursåtkomstloggar
  • Slutpunktsloggar

Datainställning / stöld

  • Slutpunktsloggar
  • Katalogtjänstloggar
  • IP-arkivloggar
  • Skrivarloggar
  • Web Proxy-loggar

Privilegerad användarövervakning

  • Autentiseringsloggar
  • Katalogtjänstloggar
  • Slutpunktsloggar
  • Operationssystemloggar
  • File Share-loggar
  • VPN-loggar
  • Resursloggar
  • IP-arkivloggar
  • Skrivarloggar

Applikationsövervakning

  • Autentiseringsloggar
  • IP-arkivloggar
  • File Share-loggar
  • Operativsystemloggar
  • Resursåtkomstloggar

Övervakning av efterlevnad

  • Web Proxy-loggar
  • Katalogtjänstloggar
  • Slutpunktsloggar
  • Autentiseringsloggar
  • IP-arkivloggar
  • File Share-loggar
  • Operativsystemloggar
  • Resursåtkomstloggar

Licensiering

Med LogPoint UEBA-licensiering kan du välja de viktigaste användarna och enheterna i din organisation, så att du bara övervakar var det verkligen betyder något för dig.