想要在其IT安全库中添加高级分析或机器学习功能的组织可以使用一个相对较新的解决方案:用户和实体行为分析(UEBA)。
UEBA产品会识别典型用户行为中的模式,然后检测与这些模式不匹配的异常行为,并可能会带来安全问题。 另外,UEBA系统检测各种实体(实体)中的非典型事件,这些实体包括工作站,软件,网络流量,存储等。
多种分析方法可用于确定偏差,包括机器学习。 顺便说一句,您可能会猜到,还有一类UBA系统,它们仅分析与用户及其角色相关联的信息。 UEBA系统的数据源是服务器和网络组件的日志文件,安全系统以及最终运行PC的本地日志。
通常,UEBA解决方案在其他网络防御工具未能识别网络中的威胁后才能发挥作用。
尽管UEBA解决方案不久前就出现了,但是它们很快在大公司中流行起来。 据Gartner称,UEBA专用解决方案的销售额每年翻一番。 此外,许多供应商还将UEBA功能包含在其他安全工具中,例如SIEM(安全信息和事件管理),网络流量分析,身份和访问控制(IAM),端点保护或预防数据泄漏。 Gartner分析师预测,在过去的五年中,届时仍将在市场上出售的单个UEBA产品将变成下一代SIEM解决方案,而其他UEBA解决方案将在其他安全技术中占据一席之地。
UEBA系统的算法。 资料来源:Gartner
以下是UEBA细分市场中最受欢迎的产品的简要说明。 有关产品的更多信息可以在
ROI4CIO的UEBA比较表中找到,
该表基于领导者的比较(根据Gartner研究)。
Exabeam高级分析
Exabeam提供安全和管理解决方案,可帮助各种规模的组织保护最有价值的信息。 Exabeam产品在工作中使用机器学习技术和行为分析。
根据Gartner专家的说法,Exabeam Advanced Analytics是UBA类别中最好的之一。 与竞争对手相比,该解决方案对于系统管理员或分析人员而言非常易于学习,这意味着其实施时间要短得多。 分析师无需花费数天或数周的时间即可收集证据并根据SIEM的信息对事件进行密谋。 借助高级分析功能,预建事件的时间线可以标记异常并显示详细信息,以便完全捕获事件及其上下文。
以前花了几周的时间现在可以在几秒钟内完成。 该产品的用户界面十分方便,历史数据的导航和查看速度非常快。 该解决方案包含数百种内置模型,其中某些模型是独特的,在竞争对手中找不到它们,这是该产品的主要优势。 该公司为其解决方案提供合格的技术支持。
但是,不幸的是,实际上没有该报告工具。 用户可以打印/导出浏览器窗口的内容,向SIEM系统发送有关异常会话的警报,或者可以截取屏幕截图。 如果您还需要其他东西,则必须使用替代工具。 在时间轴上查看十几个事件需要高分辨率的监视器,尽管即使在这种情况下,也不能容纳超过20个事件。 使用“威胁猎人”搜索面板有一个自定义搜索功能,该功能提供了良好的功能。
Micro Focus安全性ArcSight UBA
ArcSight用户行为分析为公司提供了有关其用户的详细信息,从而极大地简化了行为数据的生成,从而有助于减轻威胁。 它有助于检测和调查恶意用户的行为,内部威胁和帐户滥用。 因此,它使组织可以在违规造成重大损害之前对其进行检测。
通过将用户身份验证管理系统日志与应用程序和网络生成的其他IT日志进行比较,ArcSight用户行为分析可帮助客户降低网络攻击的风险并检测异常行为。 此外,该产品通过与SIEM的更深入集成以及更快的事件调查,可以更快地响应已识别的威胁。 事实是,UBA分析与用户有关的数据,识别偏差并将其与类似物,历史活动和/或违反预定预期行为的结果进行比较。
这样,ArcSight UBA可以检测到异常的用户行为,这对于检测黑客入侵或帐户滥用非常重要。 Micro Focus为UBA中的安全性以及与SIEM的共生无缝集成提供了最成熟,最成熟的用例。
Forcepoint UEBA
Forcepoint用户和实体行为分析(UEBA)解决方案使安全团队能够主动监视组织内的高风险异常行为。 分析保护平台通过组合结构化和非结构化数据来识别和阻止恶意,受到威胁和疏忽的用户,从而创建了无与伦比的上下文。 Forcepoint会检测各种关键问题,例如帐户遭到入侵,企业间谍活动,知识产权盗窃和欺诈。
评估人员,数据,设备和应用程序交互的细微差别,Forcepoint UEBA优先考虑安全组的截止日期。 Forcepoint软件解决方案基于以下四个原则:
丰富的背景。 该产品汇集了从不同数据源收集的内容。 因此,通过补充SIEM解决方案和信息安全领域中其他解决方案的功能,可以识别并防止不必要的用户操作。
行为分析。 Forcepoint UEBA采用多种类型的严格行为和内容分析,专注于检测更改,模式和异常,以便更好地检测复杂的攻击。
搜索和发现。 通过上下文用户界面提供功能强大的法医调查和检测工具,以进行持续监视和深入研究。
直观的工作流程。 提供主动报告,将其与系统管理员的工作流程和现有客户信息架构完全集成,以优化运营效率。
Splunk用户行为分析
Splunk用户行为分析的主要优势之一是使用机器学习检测未知威胁和异常行为。
Splunk用户行为分析提供以下功能:
高级威胁检测。 该产品可以检测到传统安全工具所忽略的异常和未知威胁。
更高的性能。 将数百种检测到的异常自动组合成一个威胁,从而大大简化了安全分析师的工作
强大的事件调查功能。 该解决方案对任何实体,异常或威胁都具有深入的调查功能和强大的基本行为特征。
改进的可见性和检测。 使用机器学习来自动进行威胁检测,这使您可以花费更多时间来消除威胁本身并增强安全性。
加快威胁搜寻。 Splunk用户行为分析可以快速识别异常对象,而无需人工干预。 该解决方案包含针对用户,帐户,设备和应用程序的各种不同类型的异常(超过65种)和威胁分类(超过25种)。
SOC资源增加。 自动将在多个实体(用户,帐户,设备和应用程序)中观察到的数百种异常合并为一种常见威胁,以加快响应速度。
Securonix UEBA
Securonix UEBA解决方案引入了基于机器学习的高级分析功能。 在产品的优点中,应注意以下几点:
减少内部威胁的风险。 Securonix根据有关身份,雇用,安全漏洞,IT活动和访问,物理访问甚至电话记录的信息,为公司环境中的每个用户创建详尽的风险概况。
该产品通过将用户活动与他们的个人基准,他们所属的组的基准以及众所周知的威胁指标进行比较,来确定真正的风险区域。 评估结果并在交互式记分卡中显示。
更好的云可见性。 这里值得一提的是诸如具有针对所有主要云基础架构和应用技术的集成API的云到云监控之类的功能; 通过分析用户权限和事件来检测恶意活动; 云和本地数据的关联,以便添加有关对象上下文的信息。 另外,应指出对威胁模式的端到端分析,以引起响应。
主动检测企业中的欺诈行为。 该产品能够识别复杂的欺诈攻击,这些攻击通常避免使用高级无签名行为和对等异常分析方法来避免基于签名的检测方法。 还值得注意的是检测帐户劫持,异常用户行为,交易欺诈和违反洗钱行为的功能。
总结
UEBA / UBA类系统是识别未知类型的威胁,APT攻击以及违反公司内部IS规则的员工的重要元素。 UEBA产品专注于四个基本任务。
首先,使用机器学习方法,定期或连续地实时地对来自各种来源的信息进行简单而高级的分析。 其次,UEBA被设计用于操作检测攻击和其他通常由经典信息安全工具检测不到的异常。
第三,这是确定从各种来源(系统,如SIEM,DLP,AD等)收集的事件的重要性的方法,以便快速响应信息安全管理员。
第四,通过IS管理员具有有关事件的全面而详细的信息这一事实,可以对事件做出有力的响应。
可以在ROI4CIO的UEBA比较表中找到更多UEBA产品和有关它们的更多详细信息。
评论作者:Oleg Pilipenko,针对ROI4CIO