Vad ?r UEBA? Guide till analys av anv?ndar- och entitetsbeteende 好色先生TV

Tekniska ?mnen

Vad ?r UEBA (User and Entity Behavior Analytics)?

Illustration av IT-objekt med fokus p? ett fr?getecken

?versikt

User and Entity Behavior Analytics (UEBA) ?r en typ av cybers?kerhetsl?sning som anv?nder maskininl?rning (ML), djupinl?rning och statistisk analys f?r att identifiera normala beteendem?nster hos anv?ndare och enheter (t.ex. v?rdar, applikationer, n?tverkstrafik och datalager) i f?retagsn?tverk eller datorsystem. N?r anomalier eller avvikelser fr?n dessa beteendem?nster uppt?cks och en riskpo?ng passerar ett angivet tr?skelv?rde, varnar en UEBA-l?sning team p? s?kerhetsoperationscentret (SOC) om huruvida ett potentiellt hot eller en cyberattack p?g?r.

UEBA ?r ett viktigt verktyg i en modern organisations cybers?kerhetsstack, s?rskilt som m?nga ?ldre verktyg snabbt blir f?r?ldrade. I takt med att cyberbrottslingar och hackare blir alltmer sofistikerade kan de l?ttare kringg? traditionella f?rsvarssystem som secure web gateways (SWG), brandv?ggar och andra verktyg f?r att f?rhindra intr?ng.

Om du inte ?r bekant med UEBA ?r den h?r guiden h?r f?r att hj?lpa dig att bryta ner det. Nedan kommer vi att diskutera vad UEBA-s?kerhet ?r, hur det fungerar, skillnaden mellan User Behavior Analytics (UBA) och UEBA samt b?sta praxis f?r UEBA.

Analys av anv?ndar- och entitetsbeteenden (UEBA)

Vad ?r UEBA-s?kerhet?

M?nga ?ldre cybers?kerhetsverktyg identifierade avvikelser i beteendem?nster enbart med hj?lp av statistisk analys och anv?ndardefinierade korrelationsregler. ?ven om dessa verktyg ?r effektiva f?r att motverka k?nda hot ?r de f?r?ldrade n?r det g?ller ok?nda eller nolldagsattacker och insiderhot. Med UEBA-s?kerhet kan SOC-teamen d?remot automatiskt uppt?cka ovanliga beteenden i hela f?retagsn?tverk eller datorsystem utan att f?rlita sig p? anv?ndardefinierade regler eller m?nster.

UEBA kombinerar kraften i ML, djupinl?rning och statistisk analys f?r att f?rse SOC-team med mer omfattande programvara f?r hotdetektering- vilket g?r det m?jligt f?r organisationer att automatiskt uppt?cka komplexa attacker ?ver flera anv?ndare och enheter. Dessutom kan en UEBA-l?sning gruppera data i loggar och rapporter samt analysera information i filer och paket.

Hur fungerar UEBA:s s?kerhet?

UEBA samlar in information om normala beteendem?nster hos anv?ndare och enheter fr?n systemloggar. D?refter anv?nds intelligenta statistiska analysmetoder f?r att tolka varje dataset och uppr?tta baslinjer f?r dessa beteendem?nster. Att etablera baslinjer f?r beteendem?nster ?r nyckeln till UEBA, eftersom det g?r det m?jligt f?r systemet att uppt?cka potentiella cyberattacker eller hot.

Med en UEBA-l?sning j?mf?rs aktuella beteenden hos anv?ndare och enheter kontinuerligt med deras individuella baslinjer. UEBA:s programvara f?r underr?ttelse om cyberhot ber?knar sedan riskpo?ng och identifierar om n?gra avvikelser eller anomalier i beteendem?nstret ?r riskabla. Om en riskpo?ng ?verskrider en viss gr?ns varnar UEBA-systemet medlemmarna i SOC-teamet.

Om en anv?ndare till exempel regelbundet laddar ner 5 MB filer varje dag och sedan pl?tsligt b?rjar ladda ner filer v?rda gigabyte, skulle en UEBA-l?sning identifiera denna avvikelse i anv?ndarens beteendem?nster och varna IT-avdelningen f?r ett eventuellt s?kerhetshot.

Enligt Gartner definieras en UEBA-l?sning av tre k?rnegenskaper:

Anv?ndningsfall: En UEBA-l?sning ska kunna analysera, uppt?cka, rapportera om och ?vervaka beteendem?nster f?r b?de anv?ndare och enheter. Och till skillnad fr?n tidigare punktl?sningar b?r UEBA fokusera p? flera anv?ndningsomr?den snarare ?n att bara fokusera p? specialiserad analys - till exempel ?vervakning av betrodda v?rdar eller bedr?geridetektering.
Analys: En UEBA-l?sning b?r erbjuda avancerade analysfunktioner som kan uppt?cka avvikande beteendem?nster med hj?lp av flera analysmetoder i ett och samma paket. Dessa inkluderar statistiska modeller och (ML), samt regler och signaturer.
Datak?llor: En UEBA-l?sning b?r kunna ta in data fr?n anv?ndar- och enhetsaktiviteter b?de direkt fr?n datak?llorna eller via ett befintligt datalager (t.ex. SIEM (Security Information and Event Management), datalager eller en datasj?).

Skillnader mellan UBA-verktyg och UEBA-verktyg

Enligt Gartners definition var User Behavior Analytics (UBA) f?reg?ngaren till UEBA, eftersom det var ett cybers?kerhetsverktyg som enbart analyserade anv?ndarnas beteendem?nster i n?tverk eller datorsystem. ?ven om UBA-l?sningar fortfarande anv?nde avancerad analys f?r att identifiera avvikelser i beteendem?nster kunde de inte analysera andra enheter, till exempel routrar, servrar och slutpunkter.

Gartner uppdaterade senare definitionen av UBA och skapade UEBA - som omfattade beteendeanalys av b?de anv?ndare och enheter (antingen individuellt eller i grupper). UEBA-l?sningar ?r mer kraftfulla ?n UBA-l?sningar, eftersom de anv?nder ML och djupinl?rning f?r att k?nna igen komplexa attacker - t.ex. insiderhot (t.ex. datauttr?ngning), avancerade ih?llande hot eller nolldagsattacker - ?ver individer, enheter och n?tverk (inklusive molnbaserade n?tverk) i st?llet f?r att f?rlita sig p? anv?ndardefinierade korrelationsregler.

UEBA:s b?sta praxis

En tumregel ?r att UEBA-verktyg inte ska ers?tta befintliga cybers?kerhetsverktyg eller ?vervakningssystem, till exempel CASB eller IDS (Intrusion Detection System). Ist?llet b?r UEBA inf?rlivas i den ?vergripande s?kerhetspaketen f?r att f?rb?ttra organisationens ?vergripande s?kerhetsst?llning. Andra UEBA-b?sta metoder inkluderar:

Se till att endast utsedda IT-medlemmar f?r UEBA:s systemvarningar.
Betrakta b?de privilegierade och icke-privilegierade anv?ndarkonton som potentiellt riskabla.
Skapa nya policyer och regler med b?de interna och externa hot i ?tanke.
Kombinera UEBA med s?kerhetsanalys av stora datam?ngder, t.ex. SIEM, f?r att g?ra dem mer effektiva n?r det g?ller att uppt?cka och analysera komplexa eller ok?nda hot.

Implementera UEBA med CyberRes Arcsight Intelligence

N?r det g?ller avancerad analys av anv?ndar- och enhetsbeteende kan CyberRes (en del av Micro Focus ) Arcsight Intelligence hj?lpa din organisation att h?lla sig skyddad mot komplexa cyberhot. V?rt UEBA-verktyg ger en kontextualiserad bild av b?de anv?ndares och enheters beteendem?nster i ditt f?retag och ger ditt SOC-team omfattande verktyg f?r att visualisera och unders?ka hot - till exempeldet ?r f?r sent.

Stoppa insiderhot med hj?lp av ArcSight beteendeanalys

Dessutom f?rv?ntar sig v?ra modeller f?r anomalidetektering inte samma beteendem?nster fr?n alla anv?ndare eller enheter - vilket inneb?r att du inte beh?ver hantera en flod av falskt positiva varningar. Med hj?lp av ArcSight Intelligence skapar v?r programvara en tydlig gr?ns mellan ovanligt beteende och verkliga hot genom att anv?nda matematisk sannolikhet och o?vervakad ML f?r att identifiera cyberhot mer exakt.

Om du ?r redo att se hur ArcSight Intelligence anv?nder en UEBA-l?sning f?r att hj?lpa ditt SOC-team att snabbt avsl?ja dolda hot i ditt f?retagsn?tverk, ?r du v?lkommen att beg?ra en demo idag.

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

AnalysdatabasAnalysdatabas

Analys av ostrukturerad dataAnalys av ostrukturerad data

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

F?retagss?kningF?retagss?kning

Aviator S?k

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstj?nster f?r B2BIntegrationstj?nster f?r B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Aff?rsn?tverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av inneh?llAI-hantering av inneh?ll

Integration av f?retagIntegration av f?retag

Insamling och intelligent dokumentbearbetningInsamling och intelligent dokumentbearbetning

Information ArchivingInformation Archiving

ProcessautomatiseringProcessautomatisering

InformationsstyrningInformationsstyrning

Inneh?ll Aviator

Cybersecurity CloudCybersecurity Cloud

Applikationss?kerhetApplikationss?kerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Underr?ttelser om hot

Uppt?ckt och hantering av hotUppt?ckt och hantering av hot

Cybers?kerhet Aviator

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Funktionell testningFunktionell testning

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Webb- och varum?rkesupplevelserWebb- och varum?rkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Analys av kontaktcenterAnalys av kontaktcenter

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

ServicehanteringServicehantering

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

N?tverkshanteringN?tverkshantering

IT-drift Aviator

好色先生TV Tryckkraft好色先生TV Tryckkraft

Developer Cloud teknisk dokumentation

Aviator Tryckkraft

PortfolioPortfolio

Dataskydd och s?kerhetskopiering av slutpunkterDataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhetEndpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhetArkivering, eDiscovery och datas?kerhet

Information i ny tappning

Artificiell intelligensArtificiell intelligens

IndustriIndustri

F?retagsapplikationerF?retagsapplikationer

Din resa till framg?ngDin resa till framg?ng

Kundtj?nstKundtj?nst

Tj?nster f?r kundframg?ngTj?nster f?r kundframg?ng

Strategi & r?dgivningStrategi & r?dgivning

Konsulttj?nsterKonsulttj?nster

Tj?nster f?r l?randeTj?nster f?r l?rande

Managed ServicesManaged Services

Hitta en partner p? 好色先生TVHitta en partner p? 好色先生TV

Hitta en partnerl?sningHitta en partnerl?sning

V?xa som partnerV?xa som partner

Bli en partner

Tillg?ngsbibliotekTillg?ngsbibliotek

Bloggar

H?ndelserH?ndelser

Samh?llen

Utvalda

Analytics Cloud

Analysdatabas

Analys av ostrukturerad data

Business Intelligence och rapportering

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

F?retagss?kning

Business Network Cloud

Integration av leveranskedjan

Integrationstj?nster f?r B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

AI-hantering av inneh?ll

Integration av f?retag

Insamling och intelligent dokumentbearbetning

Information Archiving

Processautomatisering

Informationsstyrning

Cybersecurity Cloud

Applikationss?kerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Uppt?ckt och hantering av hot

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Funktionell testning

Prestandateknik

Experience Cloud

Webb- och varum?rkesupplevelser

Meddelanden

Kundresa och data

Media Management

Analys av kontaktcenter

IT Operations Cloud

Servicehantering

FinOps

AIOps och observerbarhet

Automatisering

N?tverkshantering

好色先生TV Tryckkraft

Portfolio

Dataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhet

Artificiell intelligens

Industri

F?retagsapplikationer

Din resa till framg?ng

Kundtj?nst

Tj?nster f?r kundframg?ng

Strategi & r?dgivning

Konsulttj?nster

Tj?nster f?r l?rande

Managed Services

Hitta en partner p? 好色先生TV

Hitta en partnerl?sning

V?xa som partner

Tillg?ngsbibliotek

H?ndelser

Kundber?ttelser

好色先生TV Navigator