好色先生TV

Tekniska ?mnen

Vad ?r UEBA (User and Entity Behavior Analytics)?

Illustration av IT-objekt med fokus p? ett fr?getecken

?versikt

User and Entity Behavior Analytics (UEBA) ?r en typ av cybers?kerhetsl?sning som anv?nder maskininl?rning (ML), djupinl?rning och statistisk analys f?r att identifiera normala beteendem?nster hos anv?ndare och enheter (t.ex. v?rdar, applikationer, n?tverkstrafik och datalager) i f?retagsn?tverk eller datorsystem. N?r anomalier eller avvikelser fr?n dessa beteendem?nster uppt?cks och en riskpo?ng passerar ett angivet tr?skelv?rde, varnar en UEBA-l?sning team p? s?kerhetsoperationscentret (SOC) om huruvida ett potentiellt hot eller en cyberattack p?g?r.

UEBA ?r ett viktigt verktyg i en modern organisations cybers?kerhetsstack, s?rskilt som m?nga ?ldre verktyg snabbt blir f?r?ldrade. I takt med att cyberbrottslingar och hackare blir alltmer sofistikerade kan de l?ttare kringg? traditionella f?rsvarssystem som secure web gateways (SWG), brandv?ggar och andra verktyg f?r att f?rhindra intr?ng.

Om du inte ?r bekant med UEBA ?r den h?r guiden h?r f?r att hj?lpa dig att bryta ner det. Nedan kommer vi att diskutera vad UEBA-s?kerhet ?r, hur det fungerar, skillnaden mellan User Behavior Analytics (UBA) och UEBA samt b?sta praxis f?r UEBA.

Analys av anv?ndar- och entitetsbeteenden (UEBA)

Vad ?r UEBA-s?kerhet?

M?nga ?ldre cybers?kerhetsverktyg identifierade avvikelser i beteendem?nster enbart med hj?lp av statistisk analys och anv?ndardefinierade korrelationsregler. ?ven om dessa verktyg ?r effektiva f?r att motverka k?nda hot ?r de f?r?ldrade n?r det g?ller ok?nda eller nolldagsattacker och insiderhot. Med UEBA-s?kerhet kan SOC-teamen d?remot automatiskt uppt?cka ovanliga beteenden i hela f?retagsn?tverk eller datorsystem utan att f?rlita sig p? anv?ndardefinierade regler eller m?nster.

UEBA kombinerar kraften i ML, djupinl?rning och statistisk analys f?r att f?rse SOC-team med mer omfattande programvara f?r hotdetektering- vilket g?r det m?jligt f?r organisationer att automatiskt uppt?cka komplexa attacker ?ver flera anv?ndare och enheter. Dessutom kan en UEBA-l?sning gruppera data i loggar och rapporter samt analysera information i filer och paket.

Hur fungerar UEBA:s s?kerhet?

UEBA samlar in information om normala beteendem?nster hos anv?ndare och enheter fr?n systemloggar. D?refter anv?nds intelligenta statistiska analysmetoder f?r att tolka varje dataset och uppr?tta baslinjer f?r dessa beteendem?nster. Att etablera baslinjer f?r beteendem?nster ?r nyckeln till UEBA, eftersom det g?r det m?jligt f?r systemet att uppt?cka potentiella cyberattacker eller hot.

Med en UEBA-l?sning j?mf?rs aktuella beteenden hos anv?ndare och enheter kontinuerligt med deras individuella baslinjer. UEBA:s programvara f?r underr?ttelse om cyberhot ber?knar sedan riskpo?ng och identifierar om n?gra avvikelser eller anomalier i beteendem?nstret ?r riskabla. Om en riskpo?ng ?verskrider en viss gr?ns varnar UEBA-systemet medlemmarna i SOC-teamet.

Om en anv?ndare till exempel regelbundet laddar ner 5 MB filer varje dag och sedan pl?tsligt b?rjar ladda ner filer v?rda gigabyte, skulle en UEBA-l?sning identifiera denna avvikelse i anv?ndarens beteendem?nster och varna IT-avdelningen f?r ett eventuellt s?kerhetshot.

Enligt Gartner definieras en UEBA-l?sning av tre k?rnegenskaper:

  1. Anv?ndningsfall: En UEBA-l?sning ska kunna analysera, uppt?cka, rapportera om och ?vervaka beteendem?nster f?r b?de anv?ndare och enheter. Och till skillnad fr?n tidigare punktl?sningar b?r UEBA fokusera p? flera anv?ndningsomr?den snarare ?n att bara fokusera p? specialiserad analys - till exempel ?vervakning av betrodda v?rdar eller bedr?geridetektering.
  2. Analys: En UEBA-l?sning b?r erbjuda avancerade analysfunktioner som kan uppt?cka avvikande beteendem?nster med hj?lp av flera analysmetoder i ett och samma paket. Dessa inkluderar statistiska modeller och (ML), samt regler och signaturer.
  3. Datak?llor: En UEBA-l?sning b?r kunna ta in data fr?n anv?ndar- och enhetsaktiviteter b?de direkt fr?n datak?llorna eller via ett befintligt datalager (t.ex. SIEM (Security Information and Event Management), datalager eller en datasj?).

Skillnader mellan UBA-verktyg och UEBA-verktyg

Enligt Gartners definition var User Behavior Analytics (UBA) f?reg?ngaren till UEBA, eftersom det var ett cybers?kerhetsverktyg som enbart analyserade anv?ndarnas beteendem?nster i n?tverk eller datorsystem. ?ven om UBA-l?sningar fortfarande anv?nde avancerad analys f?r att identifiera avvikelser i beteendem?nster kunde de inte analysera andra enheter, till exempel routrar, servrar och slutpunkter.

Gartner uppdaterade senare definitionen av UBA och skapade UEBA - som omfattade beteendeanalys av b?de anv?ndare och enheter (antingen individuellt eller i grupper). UEBA-l?sningar ?r mer kraftfulla ?n UBA-l?sningar, eftersom de anv?nder ML och djupinl?rning f?r att k?nna igen komplexa attacker - t.ex. insiderhot (t.ex. datauttr?ngning), avancerade ih?llande hot eller nolldagsattacker - ?ver individer, enheter och n?tverk (inklusive molnbaserade n?tverk) i st?llet f?r att f?rlita sig p? anv?ndardefinierade korrelationsregler.

UEBA:s b?sta praxis

En tumregel ?r att UEBA-verktyg inte ska ers?tta befintliga cybers?kerhetsverktyg eller ?vervakningssystem, till exempel CASB eller IDS (Intrusion Detection System). Ist?llet b?r UEBA inf?rlivas i den ?vergripande s?kerhetspaketen f?r att f?rb?ttra organisationens ?vergripande s?kerhetsst?llning. Andra UEBA-b?sta metoder inkluderar:

  • Se till att endast utsedda IT-medlemmar f?r UEBA:s systemvarningar.
  • Betrakta b?de privilegierade och icke-privilegierade anv?ndarkonton som potentiellt riskabla.
  • Skapa nya policyer och regler med b?de interna och externa hot i ?tanke.
  • Kombinera UEBA med s?kerhetsanalys av stora datam?ngder, t.ex. SIEM, f?r att g?ra dem mer effektiva n?r det g?ller att uppt?cka och analysera komplexa eller ok?nda hot.

Implementera UEBA med CyberRes Arcsight Intelligence

N?r det g?ller avancerad analys av anv?ndar- och enhetsbeteende kan CyberRes (en del av Micro Focus ) Arcsight Intelligence hj?lpa din organisation att h?lla sig skyddad mot komplexa cyberhot. V?rt UEBA-verktyg ger en kontextualiserad bild av b?de anv?ndares och enheters beteendem?nster i ditt f?retag och ger ditt SOC-team omfattande verktyg f?r att visualisera och unders?ka hot - till exempeldet ?r f?r sent.

Stoppa insiderhot med hj?lp av ArcSight beteendeanalys

Dessutom f?rv?ntar sig v?ra modeller f?r anomalidetektering inte samma beteendem?nster fr?n alla anv?ndare eller enheter - vilket inneb?r att du inte beh?ver hantera en flod av falskt positiva varningar. Med hj?lp av ArcSight Intelligence skapar v?r programvara en tydlig gr?ns mellan ovanligt beteende och verkliga hot genom att anv?nda matematisk sannolikhet och o?vervakad ML f?r att identifiera cyberhot mer exakt.

Om du ?r redo att se hur ArcSight Intelligence anv?nder en UEBA-l?sning f?r att hj?lpa ditt SOC-team att snabbt avsl?ja dolda hot i ditt f?retagsn?tverk, ?r du v?lkommen att beg?ra en demo idag.

Relaterade produkter

好色先生TV? ArcSight? Intelligens

Proaktivt uppt?cka insiderrisker, nya attacker och avancerade ih?llande hot

好色先生TV? ArcSight? Enterprise Security Manager

Snabbare uppt?ckt av hot och snabbare svar med realtidsdetektering och inbyggd SOAR

好色先生TV? Cybersecurity Cloud

Smartare, enklare skydd

St?rk SOC-teamet med: hotdetektering i realtid; begr?nsning av insiderhot; logghantering, efterlevnad och funktioner f?r hotjakt; s?kerhetsorkestrering, automatisering och respons

F?renkla logghantering och efterlevnad samtidigt som du p?skyndar kriminaltekniska unders?kningar. Jaga och besegra hot med s?kning, visualisering och rapportering i stora datam?ngder

好色先生TV ThreatHub Research visar dig vad som hotar din organisation och vad du kan g?ra ?t det. Skapad av CISO:er, avsedd f?r CISO:er, 好色先生TV ThreatHub Research hj?lper dig att st?rka din cyberresiliens och strategiskt s?kra din digitala v?rdekedja

Se alla relaterade produkter

Hur kan vi hj?lpa till?

Fotnoter