ዛሬ የቅርብ ጊዜውን መሰረት በማድረግ የተጠቃሚ እና አካል ባህሪ ትንታኔ (UEBA) ገበያን አጭር መግለጫ እናቀርባለን። ጋርትነር ምርምር. የ UEBA ገበያ በጋርትነር ሃይፕ ሳይክል ለስጋት-ፊት ቴክኖሎጅዎች መሠረት በ "የማሰናከል ደረጃ" ግርጌ ላይ ነው, ይህም የቴክኖሎጂውን ብስለትን ያሳያል. ግን የሁኔታው አያዎ (ፓራዶክስ) በ UEBA ቴክኖሎጂዎች ውስጥ በአንድ ጊዜ አጠቃላይ የኢንቨስትመንት እድገት እና ገለልተኛ የ UEBA መፍትሄዎች ገበያ በመጥፋት ላይ ነው። ጋርትነር UEBA ተዛማጅ የመረጃ ደህንነት መፍትሄዎች ተግባራዊነት አካል እንደሚሆን ይተነብያል። "UEBA" የሚለው ቃል ከጥቅም ውጭ ሊሆን ይችላል እና በጠባብ የመተግበሪያ አካባቢ (ለምሳሌ "የተጠቃሚ ባህሪ ትንታኔ") ላይ ያተኮረ ሌላ ምህጻረ ቃል ሊተካ ይችላል, ተመሳሳይ የመተግበሪያ ቦታ (ለምሳሌ, "የውሂብ ትንታኔ"), ወይም በቀላሉ አንዳንድ ይሆናል. አዲስ buzzword (ለምሳሌ ፣ “አርቴፊሻል ኢንተለጀንስ” [AI] የሚለው ቃል አስደሳች ይመስላል ፣ ምንም እንኳን ለዘመናዊ UEBA አምራቾች ምንም ትርጉም ባይሰጥም)።

በጋርትነር ጥናት የተገኙት ቁልፍ ግኝቶች እንደሚከተለው ሊጠቃለሉ ይችላሉ፡-

• ለተጠቃሚዎች እና አካላት ባህሪ ትንተና የገበያው ብስለት የተረጋገጠው እነዚህ ቴክኖሎጂዎች በመካከለኛ እና ትልቅ የኮርፖሬት ክፍል በርካታ የንግድ ችግሮችን ለመፍታት በመጠቀማቸው ነው ።
• የUEBA ትንተና ችሎታዎች እንደ ደመና መዳረሻ ደህንነት ደላላዎች (CASBs) ፣ የማንነት አስተዳደር እና አስተዳደር (IGA) SIEM ስርዓቶች ባሉ ሰፊ ተዛማጅ የመረጃ ደህንነት ቴክኖሎጂዎች ውስጥ የተገነቡ ናቸው።
• በ UEBA ሻጮች ዙሪያ ያለው ጩኸት እና "ሰው ሰራሽ የማሰብ ችሎታ" የሚለውን ቃል የተሳሳተ አጠቃቀም ደንበኞች የሙከራ ፕሮጄክትን ሳያካሂዱ በአምራቾች ቴክኖሎጂዎች እና በመፍትሔዎች ተግባራዊነት መካከል ያለውን ትክክለኛ ልዩነት ለመረዳት አስቸጋሪ ያደርገዋል።
• ደንበኞች የ UEBA መፍትሄዎችን የመተግበር ጊዜ እና የእለት ተእለት አጠቃቀም አምራቹ ቃል ከገባላቸው በላይ ብዙ ጉልበት የሚጠይቅ እና ጊዜ የሚወስድ ሊሆን እንደሚችል ያስተውላሉ፣ ምንም እንኳን መሰረታዊ የስጋት ማወቂያ ሞዴሎችን ብቻ ከግምት ውስጥ ያስገባሉ። ብጁ ወይም የጠርዝ አጠቃቀም ጉዳዮችን ማከል እጅግ በጣም ከባድ ሊሆን ይችላል እና በዳታ ሳይንስ እና ትንታኔ ላይ እውቀትን ይጠይቃል።

ስትራቴጂያዊ የገበያ ልማት ትንበያ፡-

• እ.ኤ.አ. በ 2021 ፣ የተጠቃሚ እና የአካል ባህሪ ትንተና (UEBA) ስርዓቶች ገበያ እንደ የተለየ አካባቢ መኖር ያቆማል እና ወደ ሌሎች መፍትሄዎች ከ UEBA ተግባር ጋር ይሸጋገራል ፣
• እ.ኤ.አ. በ 2020፣ 95% ከሁሉም የUEBA ማሰማራቶች የሰፋ ያለ የደህንነት መድረክ አካል ይሆናሉ።

የ UEBA መፍትሄዎች ፍቺ

የUEBA መፍትሄዎች የተጠቃሚዎችን እና ሌሎች አካላትን እንቅስቃሴ ለመገምገም አብሮ የተሰራ ትንታኔን ይጠቀማሉ (እንደ አስተናጋጆች፣ አፕሊኬሽኖች፣ የአውታረ መረብ ትራፊክ እና የውሂብ ማከማቻዎች)።
በተመሳሳይ ቡድን ውስጥ ካሉ የተጠቃሚዎች እና አካላት መደበኛ መገለጫ እና ባህሪ ጋር ሲነጻጸር ያልተለመደ እንቅስቃሴን የሚወክሉ ማስፈራሪያዎችን እና ሊከሰቱ የሚችሉ ክስተቶችን ለይተው ያውቃሉ።

በድርጅት ክፍል ውስጥ በጣም የተለመዱት የአጠቃቀም ጉዳዮች ዛቻን መለየት እና ምላሽ መስጠት እንዲሁም የውስጥ ማስፈራሪያዎችን መለየት እና ምላሽ መስጠት (በአብዛኛው የተጠለፉ የውስጥ አካላት ፣ አንዳንድ ጊዜ የውስጥ አጥቂዎች) ናቸው።

UEBA ልክ ነው። ውሳኔ, እና ተግባርበአንድ የተወሰነ መሣሪያ ውስጥ ተገንብቷል፡-

• መፍትሄው የ SIEM መፍትሄዎችን የሚሸጡ ሻጮችን ጨምሮ "ንጹህ" የ UEBA የመሳሪያ ስርዓቶች አምራቾች ናቸው. በሁለቱም ተጠቃሚዎች እና አካላት የባህሪ ትንታኔ ላይ በተለያዩ የንግድ ችግሮች ላይ ያተኮረ።
• የተከተተ - የ UEBA ተግባራትን እና ቴክኖሎጂዎችን ወደ መፍትሄዎቻቸው የሚያዋህዱ አምራቾች/ክፍልፋዮች። በተለምዶ ይበልጥ በተወሰኑ የንግድ ችግሮች ስብስብ ላይ ያተኮረ። በዚህ አጋጣሚ UEBA የተጠቃሚዎችን እና/ወይም አካላትን ባህሪ ለመተንተን ይጠቅማል።

ጋርትነር ችግር ፈቺዎችን፣ ትንታኔዎችን እና የውሂብ ምንጮችን ጨምሮ UEBA በሶስት መጥረቢያዎች ይመለከታል (ሥዕሉን ይመልከቱ)።

"ንጹህ" የUEBA መድረኮች ከአብሮገነብ UEBA ጋር

ጋርትነር “ንፁህ” UEBA መድረክን እንደ መፍትሄ ይቆጥረዋል፡-

• እንደ ልዩ ተጠቃሚዎችን መከታተል ወይም ከድርጅቱ ውጭ መረጃን ማውጣትን የመሳሰሉ ልዩ ልዩ ችግሮችን መፍታት እና “ያልተለመደ የተጠቃሚ እንቅስቃሴን መከታተል” ብቻ ሳይሆን ፣
• ውስብስብ ትንታኔዎችን መጠቀምን ያካትታል, በመሠረቱ በመሠረታዊ የትንታኔ አቀራረቦች ላይ የተመሰረተ;
• በመሠረተ ልማት ውስጥ የተለዩ ወኪሎችን ማሰማራት ሳያስፈልግ ሁለቱንም አብሮገነብ የመረጃ ምንጭ ስልቶችን እና ከሎግ አስተዳደር መሳሪያዎች፣ ከዳታ ሐይቅ እና/ወይም ከሲኢኤም ሲስተሞች ጨምሮ ለመረጃ አሰባሰብ ብዙ አማራጮችን መስጠት።
• ውስጥ ከመካተት ይልቅ እንደ ገለልተኛ መፍትሄዎች መግዛት እና ማሰማራት ይቻላል
  የሌሎች ምርቶች ስብጥር.

ከታች ያለው ሰንጠረዥ ሁለቱን አቀራረቦች ያወዳድራል.

ሠንጠረዥ 1. "ንጹህ" UEBA መፍትሄዎች እና አብሮገነብ

መደብ	"ንጹህ" UEBA መድረኮች	አብሮ በተሰራ UEBA ሌሎች መፍትሄዎች
የሚፈታ ችግር	የተጠቃሚ ባህሪ እና አካላት ትንተና.	የውሂብ እጥረት የተጠቃሚዎችን ወይም አካላትን ባህሪ ለመተንተን UEBA ሊገድበው ይችላል።
የሚፈታ ችግር	ሰፊ ችግሮችን ለመፍታት ያገለግላል	ውሱን በሆኑ የተግባሮች ስብስብ ውስጥ ልዩ ያደርጋል
ትንታኔዎች	የተለያዩ የትንታኔ ዘዴዎችን በመጠቀም Anomaly ማወቂያ - በዋናነት በስታቲስቲክስ ሞዴሎች እና በማሽን ትምህርት ፣ ከህጎች እና ፊርማዎች ጋር። የተጠቃሚ እና የህጋዊ አካል እንቅስቃሴን ከነሱ እና ከባልደረቦቻቸው መገለጫዎች ጋር ለመፍጠር እና ለማነፃፀር አብሮ ከተሰራ ትንታኔ ጋር አብሮ ይመጣል።	ከንጹህ UEBA ጋር ተመሳሳይ ነው፣ ነገር ግን ትንታኔ ለተጠቃሚዎች እና/ወይም አካላት ብቻ ሊገደብ ይችላል።
ትንታኔዎች	የላቁ የትንታኔ ችሎታዎች፣ በደንቦች ብቻ የተገደቡ አይደሉም። ለምሳሌ፣ የስብስብ ስልተ ቀመር ከተለዋዋጭ አካላት ስብስብ ጋር።	ከ “ንጹህ” UEBA ጋር ተመሳሳይ፣ ነገር ግን በአንዳንድ የተከተቱ የማስፈራሪያ ሞዴሎች ውስጥ ያሉ ህጋዊ አካላት መቧደን የሚቻለው በእጅ ብቻ ነው።
ትንታኔዎች	ያልተለመደ እንቅስቃሴን ለመለየት የተጠቃሚዎች እና የሌሎች አካላት እንቅስቃሴ እና ባህሪ (ለምሳሌ የቤይዥያን አውታረ መረቦችን በመጠቀም) እና የግለሰብ የአደጋ ባህሪን ማቀናጀት።	ከንጹህ UEBA ጋር ተመሳሳይ ነው፣ ነገር ግን ትንታኔ ለተጠቃሚዎች እና/ወይም አካላት ብቻ ሊገደብ ይችላል።
የውሂብ ምንጮች	በተጠቃሚዎች እና አካላት ላይ ክስተቶችን ከውሂብ ምንጮች በቀጥታ አብሮ በተሰራ ስልቶች ወይም እንደ SIEM ወይም Data lake ባሉ የውሂብ ማከማቻዎች መቀበል።	ውሂብ የማግኘት ዘዴዎች ብዙውን ጊዜ ቀጥተኛ ብቻ ናቸው እና ተጠቃሚዎችን እና/ወይም ሌሎች አካላትን ብቻ ይጎዳሉ። የምዝግብ ማስታወሻ አስተዳደር መሳሪያዎችን / SIEM / የውሂብ ሐይቅን አይጠቀሙ.
የውሂብ ምንጮች	መፍትሄው በኔትወርክ ትራፊክ ላይ እንደ ዋና የመረጃ ምንጭ ብቻ ሳይሆን ቴሌሜትሪ ለመሰብሰብ በራሱ ወኪሎች ላይ ብቻ መተማመን የለበትም.	መፍትሄው በኔትወርክ ትራፊክ ላይ ብቻ ሊያተኩር ይችላል (ለምሳሌ NTA - የአውታረ መረብ ትራፊክ ትንተና) እና/ወይም ወኪሎቹን በዋና መሳሪያዎች ላይ መጠቀም (ለምሳሌ የሰራተኛ ቁጥጥር መገልገያዎች)።
የውሂብ ምንጮች	የተጠቃሚ/የህጋዊ አካል ውሂብን ከአውድ ጋር ማሟያ። በእውነተኛ ጊዜ የተዋቀሩ ክስተቶችን መሰብሰብን ይደግፋል, እንዲሁም የተዋቀሩ / ያልተዋቀሩ የተቀናጁ መረጃዎች ከ IT ማውጫዎች - ለምሳሌ, አክቲቭ ዳይሬክተሩ (AD), ወይም ሌላ በማሽን ሊነበቡ የሚችሉ የመረጃ ሀብቶች (ለምሳሌ, የ HR የውሂብ ጎታዎች).	ከንጹህ UEBA ጋር ተመሳሳይ ነው፣ ነገር ግን የአውድ ውሂብ ወሰን ከጉዳይ ወደ ጉዳይ ሊለያይ ይችላል። AD እና LDAP በተከተቱ UEBA መፍትሄዎች የሚጠቀሙባቸው በጣም የተለመዱ የአውድ የውሂብ ማከማቻዎች ናቸው።
መገኘት	የተዘረዘሩትን ባህሪያት እንደ ገለልተኛ ምርት ያቀርባል.	አብሮ የተሰራውን የ UEBA ተግባራዊነት ለመግዛት ውጫዊ መፍትሄ ሳይገዛ መግዛት አይቻልም.
ምንጭ፡ ጋርትነር (ግንቦት 2019)

ስለዚህ የተወሰኑ ችግሮችን ለመፍታት የተከተተ UEBA መሰረታዊ የ UEBA ትንታኔዎችን (ለምሳሌ ቀላል ቁጥጥር የማይደረግበት ማሽን መማር) ሊጠቀም ይችላል ነገር ግን በተመሳሳይ ጊዜ አስፈላጊውን መረጃ በማግኘት ምክንያት በአጠቃላይ ከ "ንጹህ" የበለጠ ውጤታማ ሊሆን ይችላል. የ UEBA መፍትሄ. በተመሳሳይ ጊዜ, "ንጹህ" የ UEBA መድረኮች, እንደተጠበቀው, ከተሰራው የ UEBA መሳሪያ ጋር ሲነጻጸር እንደ ዋና እውቀት የበለጠ ውስብስብ ትንታኔዎችን ያቀርባሉ. እነዚህ ውጤቶች በሰንጠረዥ 2 ውስጥ ተጠቃለዋል.

ሠንጠረዥ 2. በ "ንጹህ" እና አብሮ በተሰራው UEBA መካከል ያለው ልዩነት ውጤት

መደብ	"ንጹህ" UEBA መድረኮች	አብሮ በተሰራ UEBA ሌሎች መፍትሄዎች
ትንታኔዎች	የተለያዩ የንግድ ችግሮችን ለመፍታት ተፈጻሚነት ይበልጥ ውስብስብ በሆኑ ትንታኔዎች እና የማሽን መማሪያ ሞዴሎች ላይ በማተኮር የበለጠ ዓለም አቀፋዊ የUEBA ተግባራትን ያሳያል።	በትንሽ የንግድ ችግሮች ስብስብ ላይ ማተኮር ማለት ቀላል አመክንዮ ያላቸው በመተግበሪያ-ተኮር ሞዴሎች ላይ የሚያተኩሩ በጣም ልዩ ባህሪያት ማለት ነው.
ትንታኔዎች	ለእያንዳንዱ የመተግበሪያ ሁኔታ የትንታኔ ሞዴል ማበጀት አስፈላጊ ነው።	የትንታኔ ሞዴሎች UEBA በውስጡ ለተሰራው መሳሪያ አስቀድሞ ተዋቅረዋል። አብሮገነብ UEBA ያለው መሳሪያ አንዳንድ የንግድ ችግሮችን ለመፍታት በአጠቃላይ ፈጣን ውጤቶችን ያስገኛል.
የውሂብ ምንጮች	ከሁሉም የኮርፖሬት መሠረተ ልማት ማዕዘኖች የመረጃ ምንጮችን ማግኘት ።	ያነሱ የመረጃ ምንጮች፣ አብዛኛውን ጊዜ ለነሱ ወኪሎች ወይም መሣሪያው በራሱ በUEBA ተግባራት የተገደበ።
የውሂብ ምንጮች	በእያንዳንዱ ምዝግብ ማስታወሻ ውስጥ ያለው መረጃ በውሂብ ምንጭ የተገደበ ሊሆን ይችላል እና ሁሉንም አስፈላጊ ውሂብ ለማዕከላዊ UEBA መሳሪያ ላያይዝ ይችላል።	በወኪሉ የተሰበሰበው እና ወደ UEBA የሚተላለፈው የጥሬው መረጃ መጠን እና ዝርዝር በተለይ ሊዋቀር ይችላል።
ሥነ ሕንፃ	ለድርጅት የተሟላ የ UEBA ምርት ነው። የSIEM ስርዓት ወይም የውሂብ ሀይቅን አቅም በመጠቀም ውህደት ቀላል ነው።	አብሮገነብ UEBA ላሏቸው ለእያንዳንዱ መፍትሄዎች የተለየ የUEBA ባህሪያትን ይፈልጋል። የተከተቱ የUEBA መፍትሄዎች ብዙ ጊዜ ወኪሎችን መጫን እና ውሂብን ማስተዳደር ያስፈልጋቸዋል።
ውህደት	በእያንዳንዱ ጉዳይ ላይ የ UEBA መፍትሄን ከሌሎች መሳሪያዎች ጋር በእጅ ማዋሃድ. አንድ ድርጅት የቴክኖሎጂ ቁልልውን "በአናሎኮች መካከል ምርጥ" በሚለው አቀራረብ ላይ በመመስረት እንዲገነባ ይፈቅዳል።	የ UEBA ተግባራት ዋና ጥቅሎች ቀድሞውኑ በአምራቹ ውስጥ በመሳሪያው ውስጥ ተካትተዋል። የ UEBA ሞጁል አብሮ የተሰራ ነው እና ሊወገድ አይችልም፣ ስለዚህ ደንበኞች በራሳቸው ነገር መተካት አይችሉም።
ምንጭ፡ ጋርትነር (ግንቦት 2019)

UEBA እንደ ተግባር

UEBA ከተጨማሪ ትንታኔዎች ሊጠቅሙ የሚችሉ ከጫፍ እስከ ጫፍ የሳይበር ደህንነት መፍትሄዎች ባህሪ እየሆነ ነው። UEBA በተጠቃሚ እና/ወይም በህጋዊ አካል ባህሪ ቅጦች ላይ የተመረኮዘ የላቁ ትንታኔዎችን በማቅረብ እነዚህን መፍትሄዎች መሰረት ያደርጋል።

በአሁኑ ጊዜ በገበያ ላይ ፣ አብሮ የተሰራው የ UEBA ተግባር በቴክኖሎጂ ወሰን በቡድን በሚከተሉት መፍትሄዎች ውስጥ ተተግብሯል ።

• በመረጃ ላይ ያተኮረ ኦዲት እና ጥበቃየተዋቀሩ እና ያልተዋቀረ የውሂብ ማከማቻ (በ DCAP) ደህንነትን ለማሻሻል ያተኮሩ ሻጮች ናቸው።

  በዚህ የአቅራቢዎች ምድብ ውስጥ፣ ጋርትነር ማስታወሻ፣ ከሌሎች ነገሮች መካከል፣ የቫሮኒስ የሳይበር ደህንነት መድረክያልተዋቀሩ የውሂብ ፍቃዶች፣ መዳረሻ እና አጠቃቀምን በተለያዩ የመረጃ ማከማቻዎች ላይ ለመከታተል የተጠቃሚ ባህሪ ትንታኔን ይሰጣል።

• CASB ስርዓቶችየተመቻቸ የመዳረሻ ቁጥጥር ስርዓትን በመጠቀም ላልተፈለጉ መሳሪያዎች፣ ተጠቃሚዎች እና የመተግበሪያ ስሪቶች የደመና አገልግሎቶችን በማገድ ደመና ላይ በተመሰረቱ የSaaS መተግበሪያዎች ውስጥ ካሉ የተለያዩ ስጋቶች ጥበቃን ይሰጣል።

  ሁሉም የገበያ መሪ CASB መፍትሄዎች የUEBA ችሎታዎችን ያካትታሉ።

• DLP መፍትሄዎች - ከድርጅቱ ውጭ ወሳኝ የሆኑ መረጃዎችን ማስተላለፍ ወይም አላግባብ መጠቀም ላይ ያተኮረ።

  የDLP ግስጋሴዎች በአብዛኛው ይዘትን በመረዳት ላይ የተመሰረቱ ናቸው፣ እንደ ተጠቃሚ፣ አፕሊኬሽን፣ አካባቢ፣ ጊዜ፣ የዝግጅቶች ፍጥነት እና ሌሎች ውጫዊ ሁኔታዎች ያሉ አውዶችን በመረዳት ላይ ያተኮረ ነው። ውጤታማ ለመሆን የDLP ምርቶች ሁለቱንም ይዘት እና አውድ ማወቅ አለባቸው። ለዚህ ነው ብዙ አምራቾች የ UEBA ተግባራትን ወደ መፍትሄዎቻቸው ማዋሃድ የጀመሩት.

• የሰራተኞች ክትትል አብዛኛውን ጊዜ ለህጋዊ ሂደቶች ተስማሚ በሆነ የውሂብ ቅርጸት (አስፈላጊ ከሆነ) የሰራተኛ ድርጊቶችን የመመዝገብ እና የማጫወት ችሎታ ነው.

  ተጠቃሚዎችን በቋሚነት መከታተል ብዙ ጊዜ በእጅ ማጣራት እና የሰው ትንተና የሚፈልግ እጅግ በጣም ብዙ የውሂብ መጠን ያመነጫል። ስለዚህ፣ UEBA የእነዚህን የመፍትሄ ሃሳቦች አፈጻጸም ለማሻሻል እና ከፍተኛ ተጋላጭነትን ብቻ ለመለየት በክትትል ስርዓቶች ውስጥ ጥቅም ላይ ይውላል።

• የመጨረሻ ነጥብ ደህንነት - የመጨረሻ ነጥብ ማወቂያ እና ምላሽ (ኢዲአር) መፍትሄዎች እና የመጨረሻ ነጥብ ጥበቃ መድረኮች (ኢ.ፒ.ፒ.) ኃይለኛ የመሣሪያ እና የስርዓተ ክወና ቴሌሜትሪ ይሰጣሉ ።
  የመጨረሻ መሳሪያዎች.

  እንደዚህ አይነት ከተጠቃሚ ጋር የተያያዘ ቴሌሜትሪ አብሮ የተሰራ የUEBA ተግባርን ለማቅረብ ሊተነተን ይችላል።

• የመስመር ላይ ማጭበርበር - የመስመር ላይ የማጭበርበር ማወቂያ መፍትሄዎች የደንበኛ መለያን በስፖፍ፣ ማልዌር ወይም ደህንነታቸው ያልተጠበቁ ግንኙነቶች/የአሳሽ ትራፊክ መጥለፍን የሚያመለክት ወጣ ገባ እንቅስቃሴን ያገኙታል።

  አብዛኛዎቹ የማጭበርበር መፍትሄዎች የ UEBA፣ የግብይት ትንተና እና የመሳሪያ መለኪያን ምንነት ይጠቀማሉ፣ በማንነት ዳታቤዝ ውስጥ ያሉ ግንኙነቶችን በማዛመድ የበለጠ የላቁ ስርዓቶችን ያሟሉ ናቸው።

• IAM እና የመዳረሻ መቆጣጠሪያ - ጋርትነር ከንጹህ አቅራቢዎች ጋር ለመዋሃድ እና አንዳንድ የUEBA ተግባራትን ወደ ምርቶቻቸው ለመገንባት በመዳረሻ ቁጥጥር ስርዓት አቅራቢዎች መካከል ያለውን የዝግመተ ለውጥ አዝማሚያ ያስተውላል።
• IAM እና የማንነት አስተዳደር እና አስተዳደር (ኢጋ) ሥርዓቶች እንደ ያልተለመደ መለየት፣ ተመሳሳይ አካላት ተለዋዋጭ የቡድን ትንተና፣ የመግባት ትንተና እና የመዳረሻ ፖሊሲ ትንተና ያሉ የባህሪ እና የማንነት ትንታኔ ሁኔታዎችን ለመሸፈን UEBA ይጠቀሙ።
• IAM እና ልዩ መዳረሻ አስተዳደር (PAM) - የአስተዳደር ሂሳቦችን አጠቃቀም የመከታተል ሚና በመኖሩ ፣ የ PAM መፍትሄዎች የአስተዳደር ሂሳቦች እንዴት ፣ ለምን ፣ መቼ እና የት ጥቅም ላይ እንደዋሉ ለማሳየት ቴሌሜትሪ አላቸው። ይህ ውሂብ የአስተዳዳሪዎች ያልተለመደ ባህሪ ወይም ተንኮል-አዘል ዓላማ ለመኖሩ አብሮ የተሰራውን የUEBA ተግባር በመጠቀም ሊተነተን ይችላል።
• አምራቾች NTA (የአውታረ መረብ ትራፊክ ትንተና) - በኮርፖሬት ኔትወርኮች ላይ አጠራጣሪ እንቅስቃሴዎችን ለመለየት የማሽን መማርን፣ የላቀ ትንታኔን እና ደንብን መሰረት ያደረገ ማወቂያን ይጠቀሙ።

  የኤንቲኤ መሳሪያዎች መደበኛውን የአውታረ መረብ ባህሪ የሚያንፀባርቁ ሞዴሎችን ለመገንባት የምንጭ ትራፊክ እና/ወይም የፍሰት መዝገቦችን (ለምሳሌ NetFlow) ያለማቋረጥ ይመረምራሉ፣ ይህም በዋናነት በህጋዊ አካል ባህሪ ትንታኔ ላይ ያተኩራል።

• ሲኢም - ብዙ የSIEM አቅራቢዎች አሁን በSIEM ውስጥ ወይም እንደ የተለየ የUEBA ሞጁል የተሰራ የላቀ የውሂብ ትንታኔ ተግባር አላቸው። በ2018 እና እስካሁን በ2019፣ በአንቀጹ ላይ እንደተብራራው በSIEM እና UEBA ተግባራት መካከል ያለው ድንበር የማያቋርጥ ብዥታ አለ። "የቴክኖሎጂ ግንዛቤ ለዘመናዊው SIEM". የSIEM ስርዓቶች ከትንታኔዎች ጋር በመስራት እና የበለጠ ውስብስብ የመተግበሪያ ሁኔታዎችን በማቅረብ የተሻሉ ሆነዋል።

የUEBA መተግበሪያ ሁኔታዎች

የ UEBA መፍትሄዎች ብዙ ችግሮችን መፍታት ይችላሉ. ነገር ግን፣ የጋርትነር ደንበኞች ዋናው የአጠቃቀም ጉዳይ በተጠቃሚ ባህሪ እና በሌሎች አካላት መካከል ያለውን ተደጋጋሚ ትስስር በማሳየት እና በመተንተን የተገኙ የተለያዩ የአደጋ ምድቦችን መለየትን እንደሚያካትት ይስማማሉ፡

• ያልተፈቀደ መዳረሻ እና የውሂብ እንቅስቃሴ;
• ልዩ የሆኑ ተጠቃሚዎች አጠራጣሪ ባህሪ, ተንኮል አዘል ወይም ያልተፈቀደ የሰራተኞች እንቅስቃሴ;
• መደበኛ ያልሆነ መዳረሻ እና የደመና ሀብቶች አጠቃቀም;
• እና ሌሎች.

እንደ ማጭበርበር ወይም የሰራተኛ ክትትል ያሉ በርካታ የሳይበር ደህንነት ያልሆኑ የአጠቃቀም ጉዳዮች UEBA ትክክል ሊሆን ይችላል። ነገር ግን፣ ብዙ ጊዜ ከ IT እና የመረጃ ደህንነት ውጭ የውሂብ ምንጮችን ወይም የተወሰኑ የትንታኔ ሞዴሎችን በዚህ አካባቢ ጥልቅ ግንዛቤ ይፈልጋሉ። ሁለቱም የUEBA አምራቾች እና ደንበኞቻቸው የሚስማሙባቸው አምስቱ ዋና ሁኔታዎች እና መተግበሪያዎች ከዚህ በታች ተብራርተዋል።

"ተንኮል አዘል አዋቂ"

ይህንን ሁኔታ የሚሸፍኑ የUEBA መፍትሔ አቅራቢዎች ሰራተኞችን እና የታመኑ ስራ ተቋራጮችን ያልተለመደ፣ “መጥፎ” ወይም ተንኮል አዘል ባህሪን ብቻ ይቆጣጠራሉ። በዚህ የልምድ ዘርፍ ያሉ ሻጮች የአገልግሎት ሂሳቦችን ወይም ሌሎች ሰብአዊ ያልሆኑ አካላትን ባህሪ አይቆጣጠሩም ወይም አይተነትኑም። በአብዛኛው በዚህ ምክንያት, ሰርጎ ገቦች ነባር መለያዎችን በሚቆጣጠሩበት የላቁ አደጋዎችን በመለየት ላይ ያተኮሩ አይደሉም. ይልቁንም ጎጂ በሆኑ ተግባራት ውስጥ የተሳተፉ ሰራተኞችን ለመለየት ነው.

በመሠረቱ፣ የ"ተንኮል አዘል አዋቂ" ጽንሰ-ሐሳብ የመጣው በአሠሪያቸው ላይ ጉዳት የሚያደርሱ መንገዶችን ከሚፈልጉ ተንኮል አዘል ዓላማ ካላቸው ታማኝ ተጠቃሚዎች ነው። ተንኮል አዘል ዓላማ ለመለካት አስቸጋሪ ስለሆነ በዚህ ምድብ ውስጥ ያሉ ምርጥ አቅራቢዎች በኦዲት ምዝግብ ማስታወሻዎች ውስጥ በቀላሉ የማይገኙ የአውድ ባህሪ መረጃዎችን ይመረምራሉ።

በዚህ ቦታ ላይ ያሉ የመፍትሄ ሃሳቦች አቅራቢዎች የባህሪ ሁኔታን ለማቅረብ እንደ የኢሜይል ይዘት፣ የምርታማነት ሪፖርቶች ወይም የማህበራዊ ሚዲያ መረጃ ያሉ ያልተዋቀሩ መረጃዎችን በተሻለ ሁኔታ ይጨምራሉ እና ይመረምራሉ።

የተጠለፈ ውስጣዊ እና ጣልቃ-ገብ ማስፈራሪያዎች

ተግዳሮቱ አጥቂው ድርጅቱን እንደደረሰ እና በ IT መሠረተ ልማት ውስጥ መንቀሳቀስ ከጀመረ በኋላ "መጥፎ" ባህሪን በፍጥነት ማግኘት እና መተንተን ነው።
እንደ ያልታወቁ ወይም ገና ሙሉ በሙሉ ያልተረዱ ማስፈራሪያዎች (ኤፒቲዎች)፣ ከህጋዊ የተጠቃሚ እንቅስቃሴ ወይም የአገልግሎት መለያዎች በስተጀርባ ለመደበቅ እና ለመደበቅ በጣም ከባድ ናቸው። እንደነዚህ ያሉት ማስፈራሪያዎች ብዙውን ጊዜ ውስብስብ የአሠራር ሞዴል አላቸው (ለምሳሌ ፣ ጽሑፉን ይመልከቱ) የሳይበር ግድያ ሰንሰለትን ማነጋገር") ወይም ባህሪያቸው እንደ ጎጂ ገና አልተገመገመም። ይህ ቀላል ትንታኔዎችን በመጠቀም ለመለየት አስቸጋሪ ያደርጋቸዋል።

ነገር ግን፣ አብዛኛዎቹ እነዚህ ጣልቃ ገብ ዛቻዎች መደበኛ ያልሆነ ባህሪን ያስከትላሉ፣ ብዙ ጊዜ ያልተጠረጠሩ ተጠቃሚዎችን ወይም አካላትን (በውስጡ የተጠለፉ)። የUEBA ቴክኒኮች እንደዚህ ያሉ ስጋቶችን ለመለየት፣ ሲግናል-ወደ-ጫጫታ ሬሾን ለማሻሻል፣ የማሳወቂያ መጠንን ለማጠናከር እና ለመቀነስ፣ የቀሩትን ማንቂያዎች ቅድሚያ ለመስጠት እና ውጤታማ የአደጋ ምላሽ እና ምርመራን ለማመቻቸት ብዙ አስደሳች እድሎችን ይሰጣሉ።

ይህንን ችግር አካባቢ የሚያነጣጥሩ የUEBA አቅራቢዎች ብዙውን ጊዜ ከድርጅቱ SIEM ስርዓቶች ጋር ባለሁለት አቅጣጫ ውህደት አላቸው።

የውሂብ ማስፋፊያ

በዚህ ጉዳይ ላይ ያለው ተግባር መረጃ ከድርጅቱ ውጭ እየተላለፈ ያለውን እውነታ መለየት ነው.
በዚህ ፈታኝ ሁኔታ ላይ ያተኮሩ አቅራቢዎች በተለምዶ የDLP ወይም DAG ችሎታዎችን ባልተለመደ ሁኔታ ለይቶ ማወቅ እና የላቀ ትንታኔዎችን ይጠቀማሉ፣በዚህም የምልክት-ወደ-ጫጫታ ጥምርታን በማሻሻል፣ የማሳወቂያ መጠንን ያጠናክራል እና የቀሩትን ቀስቅሴዎች ቅድሚያ ይሰጣል። ለተጨማሪ አውድ አቅራቢዎች በተለምዶ በአውታረ መረብ ትራፊክ (እንደ ድር ፕሮክሲዎች ያሉ) እና የመጨረሻ ነጥብ ውሂብ ላይ ይተማመናሉ፣ ምክንያቱም የእነዚህ የመረጃ ምንጮች ትንተና በውሂብ ማጭበርበር ላይ ሊረዳ ይችላል።

መረጃን የማጣራት ስራ ድርጅቱን የሚያስፈራሩ የውስጥ እና የውጭ ጠላፊዎችን ለመያዝ ይጠቅማል።

የልዩ መዳረሻን መለየት እና ማስተዳደር

በዚህ የባለሙያ መስክ ውስጥ ያሉ ገለልተኛ የ UEBA መፍትሄዎች አምራቾች የተጠቃሚን ባህሪ ይመለከታሉ እና ይተንትኑታል ከመጠን በላይ መብቶችን ወይም ያልተለመደ መዳረሻን ለመለየት ቀድሞውኑ ከተቋቋመው የመብት ስርዓት ዳራ ጋር። ይህ ልዩ እና የአገልግሎት መለያዎችን ጨምሮ ሁሉንም አይነት ተጠቃሚዎችን እና መለያዎችን ይመለከታል። ድርጅቶቹ የተኙ መለያዎችን እና ከሚፈለገው በላይ የሆኑትን የተጠቃሚ መብቶችን ለማስወገድ UEBAን ይጠቀማሉ።

የክስተት ቅድሚያ መስጠት

የዚህ ተግባር አላማ በቴክኖሎጂ ክምችታቸው ውስጥ በመፍትሄዎች ለሚፈጠሩ ማሳወቂያዎች የትኛዎቹ አጋጣሚዎች ወይም ሊሆኑ የሚችሉ ጉዳዮች በቅድሚያ መቅረብ እንዳለባቸው ለመረዳት ቅድሚያ መስጠት ነው። የUEBA ዘዴዎች እና መሳሪያዎች በተለይ ለአንድ ድርጅት ያልተለመዱ ወይም አደገኛ የሆኑ ክስተቶችን ለመለየት ጠቃሚ ናቸው። በዚህ ሁኔታ የ UEBA ዘዴ ​​የእንቅስቃሴ እና የዛቻ ሞዴሎችን መሰረታዊ ደረጃን ብቻ ሳይሆን መረጃውን ስለ ድርጅቱ ድርጅታዊ መዋቅር መረጃ (ለምሳሌ ወሳኝ ሀብቶች ወይም ሚናዎች እና የሰራተኞች ተደራሽነት ደረጃዎች) ይሞላል።

የ UEBA መፍትሄዎችን የመተግበር ችግሮች

የ UEBA መፍትሄዎች የገበያ ህመም ከፍተኛ ዋጋቸው, ውስብስብ አተገባበር, ጥገና እና አጠቃቀም ነው. ኩባንያዎች ከተለያዩ የውስጥ መግቢያዎች ብዛት ጋር እየታገሉ ቢሆንም ሌላ ኮንሶል እያገኙ ነው። በአዲሱ መሣሪያ ውስጥ ያለው የጊዜ እና የሀብቶች ኢንቨስትመንት መጠን በእጃቸው ባሉ ተግዳሮቶች እና እነሱን ለመፍታት በሚያስፈልጋቸው የትንታኔ ዓይነቶች ላይ የተመሠረተ ነው ፣ እና ብዙውን ጊዜ ትልቅ ኢንቨስትመንቶችን ይፈልጋል።

ብዙ አምራቾች ከሚሉት በተቃራኒ፣ UEBA “አዋቅረው እና ረስተውት” መሳሪያ አይደለም ከዛም ለቀናት ያለማቋረጥ መስራት ይችላል።
የጋርትነር ደንበኞች, ለምሳሌ, ይህ መፍትሄ የተተገበረባቸውን ችግሮች ለመፍታት የመጀመሪያ ውጤቶችን ለማግኘት የ UEBA ተነሳሽነት ለመጀመር ከ 3 እስከ 6 ወራት እንደሚወስድ ያስተውሉ. ለተጨማሪ ውስብስብ ተግባራት፣ ለምሳሌ በድርጅቱ ውስጥ ያሉ የውስጥ ስጋቶችን መለየት፣ ጊዜው ወደ 18 ወራት ይጨምራል።

UEBA ን የመተግበር ችግር እና የመሳሪያው የወደፊት ውጤታማነት ላይ ተጽዕኖ የሚያሳድሩ ምክንያቶች፡-

• የድርጅት አርክቴክቸር፣ የአውታረ መረብ ቶፖሎጂ እና የውሂብ አስተዳደር ፖሊሲዎች ውስብስብነት
• በትክክለኛው የዝርዝር ደረጃ ትክክለኛ መረጃ መገኘት
• የአቅራቢው ትንታኔ ስልተ ቀመር ውስብስብነት—ለምሳሌ፣ የስታቲስቲክስ ሞዴሎች እና የማሽን መማሪያ አጠቃቀም ከቀላል ቅጦች እና ደንቦች ጋር።
• አስቀድሞ የተዋቀሩ የትንታኔዎች መጠን ተካትቷል-ይህም ማለት ለእያንዳንዱ ተግባር ምን ውሂብ መሰብሰብ እንዳለበት እና ትንታኔውን ለማከናወን ምን አይነት ተለዋዋጮች እና ባህሪያት በጣም አስፈላጊ እንደሆኑ የአምራቹ ግንዛቤ።
• አምራቹ ከሚያስፈልገው መረጃ ጋር በራስ-ሰር እንዲዋሃድ ምን ያህል ቀላል ነው።

  ለምሳሌ:

  • የ UEBA መፍትሔ የSIEM ስርዓትን እንደ ዋና የመረጃው ምንጭ ከተጠቀመ፣ SIEM ከሚፈለገው የመረጃ ምንጮች መረጃ ይሰበስባል?
  • አስፈላጊው የክስተት ምዝግብ ማስታወሻዎች እና ድርጅታዊ አውድ ውሂብ ወደ UEBA መፍትሄ መምራት ይቻላል?
  • የ SIEM ስርዓቱ በ UEBA መፍትሄ የሚፈለጉትን የመረጃ ምንጮች ካልሰበሰበ እና ካልተቆጣጠረ ታዲያ እንዴት ወደዚያ ሊተላለፉ ይችላሉ?

• የመተግበሪያው ሁኔታ ለድርጅቱ ምን ያህል አስፈላጊ ነው, ምን ያህል የውሂብ ምንጮች ያስፈልገዋል, እና ይህ ተግባር ምን ያህል ከአምራቹ የባለሙያዎች አካባቢ ጋር ይደራረባል.
• ምን ዓይነት ድርጅታዊ ብስለት እና ተሳትፎ ያስፈልጋል - ለምሳሌ, ደንቦችን እና ሞዴሎችን መፍጠር, ማጎልበት እና ማሻሻያ; ለግምገማ ክብደት ለተለዋዋጮች መመደብ; ወይም የአደጋ ግምገማ ገደብ ማስተካከል.
• የአቅራቢው መፍትሄ እና አርክቴክቸር አሁን ካለው የድርጅቱ መጠን እና ወደፊት ከሚያስፈልጉት መስፈርቶች ጋር ሲነጻጸር ምን ያህል ሊሰፋ የሚችል ነው።
• መሰረታዊ ሞዴሎችን, መገለጫዎችን እና ቁልፍ ቡድኖችን ለመገንባት ጊዜው አሁን ነው. አምራቾች ብዙውን ጊዜ "የተለመዱ" ጽንሰ-ሐሳቦችን ከመግለጻቸው በፊት ትንታኔዎችን ለማካሄድ ቢያንስ 30 ቀናት (እና አንዳንዴም እስከ 90 ቀናት) ያስፈልጋቸዋል. ታሪካዊ መረጃዎችን አንዴ መጫን የሞዴል ስልጠናን ሊያፋጥን ይችላል። አንዳንድ አስደሳች ጉዳዮች የማሽን መማሪያን በማይታመን አነስተኛ መጠን ባለው የመጀመሪያ ውሂብ ከመጠቀም ይልቅ ህጎችን በመጠቀም በፍጥነት ሊታወቁ ይችላሉ።
• ተለዋዋጭ ቡድኖችን እና የመለያ ፕሮፋይሎችን (አገልግሎት/ሰው) ለመገንባት የሚያስፈልገው ጥረት በመፍትሔዎች መካከል በእጅጉ ሊለያይ ይችላል።

ምንጭ: hab.com