ProHoster > Блог > interretaj novaĵoj > La UEBA-merkato mortis - vivu UEBA

La UEBA-merkato mortis - vivu UEBA

La UEBA-merkato mortis - vivu UEBA

Hodiaŭ ni provizos mallongan superrigardon de la merkato de Uzanto kaj Ento-Konduta Analizo (UEBA) bazita sur la plej nova. Gartner-esploro. La UEBA-merkato estas ĉe la fundo de la "seniluziiĝo" laŭ Gartner Hype Cycle for Threat-Facing Technologies, indikante la maturecon de la teknologio. Sed la paradokso de la situacio kuŝas en la samtempa ĝenerala kresko de investoj en UEBA-teknologioj kaj la malaperanta merkato de sendependaj UEBA-solvoj. Gartner antaŭdiras, ke UEBA fariĝos parto de la funkcieco de rilataj informsekurecaj solvoj. La esprimo "UEBA" verŝajne malfunkcios kaj estos anstataŭigita per alia akronimo koncentrita al pli mallarĝa aplika areo (ekz., "uzantkondut-analitiko"), simila aplikaĵareo (ekz., "datumanalitiko"), aŭ simple fariĝos iu. nova furorvorto (ekzemple, la esprimo "artefarita inteligenteco" [AI] aspektas interesa, kvankam ĝi ne havas sencon por modernaj UEBA-fabrikistoj).

La ĉefaj rezultoj de la Gartner-studo povas esti resumitaj jene:

  • La matureco de la merkato por kondutismaj analizoj de uzantoj kaj entoj estas konfirmita de la fakto, ke ĉi tiuj teknologioj estas uzataj de la meza kaj granda kompania segmento por solvi kelkajn komercajn problemojn;
  • UEBA-analitikkapabloj estas konstruitaj en larĝan gamon de rilataj informsekurecaj teknologioj, kiel ekzemple nubaj alirsekurecaj makleristoj (CASBoj), identecadministrado kaj administrado (IGA) SIEM-sistemoj;
  • La ekzaltiĝo ĉirkaŭ UEBA-vendistoj kaj la malĝusta uzo de la termino "artefarita inteligenteco" malfaciligas al klientoj kompreni la realan diferencon inter la teknologioj de fabrikistoj kaj la funkcieco de solvoj sen fari pilotprojekton;
  • Klientoj rimarkas, ke la efektiviga tempo kaj ĉiutaga uzo de UEBA-solvoj povas esti pli labor-intensa kaj tempopostula ol la fabrikanto promesas, eĉ se konsiderante nur bazajn minacajn detektajn modelojn. Aldoni kutimajn aŭ randajn uzkazojn povas esti ekstreme malfacila kaj postulas kompetentecon en datumscienco kaj analizo.

Prognozo pri strategia merkata disvolviĝo:

  • Ĝis 2021, la merkato por uzantaj kaj entaj kondutismaj analizoj (UEBA) sistemoj ĉesos ekzisti kiel aparta areo kaj ŝanĝos al aliaj solvoj kun UEBA-funkcieco;
  • Ĝis 2020, 95% de ĉiuj UEBA-deplojoj estos parto de pli larĝa sekureca platformo.

Difino de UEBA-solvoj

UEBA-solvoj uzas enkonstruitan analizon por taksi la agadon de uzantoj kaj aliaj estaĵoj (kiel gastigantoj, aplikoj, rettrafiko kaj datumbutikoj).
Ili detektas minacojn kaj eblajn okazaĵojn, tipe reprezentante nenormalan agadon kompare kun la norma profilo kaj konduto de uzantoj kaj entoj en similaj grupoj dum tempodaŭro.

La plej oftaj uzkazoj en la entreprensegmento estas minaco-detekto kaj respondo, same kiel detekto kaj respondo al internaj minacoj (plejparte endanĝerigitaj internuloj; foje internaj atakantoj).

UEBA estas kiel decido, kaj funkcio, konstruita en specifan ilon:

  • La solvo estas fabrikantoj de "puraj" UEBA-platformoj, inkluzive de vendistoj, kiuj ankaŭ vendas SIEM-solvojn aparte. Temigis larĝan gamon de komercaj problemoj en kondutismaj analizoj de kaj uzantoj kaj entoj.
  • Enigita - Fabrikistoj/sekcioj kiuj integras UEBA-funkciojn kaj teknologiojn en siajn solvojn. Tipe temigis pli specifan aron de komercaj problemoj. En ĉi tiu kazo, UEBA estas uzata por analizi la konduton de uzantoj kaj/aŭ entoj.

Gartner rigardas UEBA laŭ tri aksoj, inkluzive de solvantoj de problemoj, analizoj kaj datumfontoj (vidu figuron).

La UEBA-merkato mortis - vivu UEBA

"Puraj" UEBA-platformoj kontraŭ enkonstruita UEBA

Gartner konsideras "puran" UEBA-platformon esti solvoj kiuj:

  • solvi plurajn specifajn problemojn, kiel monitorado de privilegiitaj uzantoj aŭ eligo de datumoj ekster la organizo, kaj ne nur la abstraktan "monitoradon de anomalia uzantagado";
  • impliki la uzon de kompleksa analitiko, nepre bazita sur bazaj analizaj aliroj;
  • provizi plurajn opciojn por datumkolektado, inkluzive de ambaŭ enkonstruitaj datumfontomekanismoj kaj de ŝtipaj administradiloj, Datumlago kaj/aŭ SIEM-sistemoj, sen la deviga bezono deploji apartajn agentojn en la infrastrukturo;
  • povas esti aĉetita kaj deplojita kiel memstaraj solvoj prefere ol inkluzivitaj enen
    komponado de aliaj produktoj.

La suba tabelo komparas la du alirojn.

Tablo 1. "Puraj" UEBA-solvoj kontraŭ enkonstruitaj

kategorio "Puraj" UEBA-platformoj Aliaj solvoj kun enkonstruita UEBA
Problemo solvota Analizo de uzantkonduto kaj entoj. Manko de datumoj povas limigi UEBA analizi la konduton de nur uzantoj aŭ entoj.
Problemo solvota Servas solvi larĝan gamon de problemoj Specialiĝas pri limigita aro de taskoj
Analitiko Detekto de anomalioj uzante diversajn analizajn metodojn - ĉefe per statistikaj modeloj kaj maŝinlernado, kune kun reguloj kaj subskriboj. Venas kun enkonstruita analizo por krei kaj kompari uzant- kaj entan agadon kun siaj kaj kolegoj profiloj. Simila al pura UEBA, sed analizo povas esti limigita nur al uzantoj kaj/aŭ entoj.
Analitiko Altnivelaj analizaj kapabloj, ne limigitaj nur de reguloj. Ekzemple, clustering-algoritmo kun dinamika grupigo de unuoj. Simila al "pura" UEBA, sed enta grupiĝo en iuj enigitaj minacmodeloj nur povas esti ŝanĝita permane.
Analitiko Korelacio de agado kaj konduto de uzantoj kaj aliaj estaĵoj (ekzemple, uzante Bayesian retojn) kaj agregado de individua riska konduto por identigi anomalian agadon. Simila al pura UEBA, sed analizo povas esti limigita nur al uzantoj kaj/aŭ entoj.
Fontoj de datumoj Ricevante eventojn pri uzantoj kaj entoj de datumfontoj rekte per enkonstruitaj mekanismoj aŭ ekzistantaj datumbutikoj, kiel SIEM aŭ Data lake. Mekanismoj por akiri datumojn estas kutime nur rektaj kaj influas nur uzantojn kaj/aŭ aliajn entojn. Ne uzu ilojn pri ŝtipoj / SIEM / Datuma lago.
Fontoj de datumoj La solvo devus ne nur fidi je rettrafiko kiel la ĉefa fonto de datumoj, nek ĝi devus fidi nur sur siaj propraj agentoj por kolekti telemetrion. La solvo povas koncentriĝi nur pri rettrafiko (ekzemple, NTA - reta trafika analizo) kaj/aŭ uzi ĝiajn agentojn sur finaj aparatoj (ekzemple, dungita monitorado de utilecoj).
Fontoj de datumoj Saturigo de datumoj de uzanto/unuo kun kunteksto. Subtenas la kolekton de strukturitaj eventoj en reala tempo, same kiel strukturitaj/nestrukturitaj koheziaj datumoj de IT-dosierujoj - ekzemple, Active Directory (AD), aŭ aliaj maŝinlegeblaj informrimedoj (ekzemple, HR-datumbazoj). Simila al pura UEBA, sed la amplekso de kontekstaj datumoj povas malsami de kazo al kazo. AD kaj LDAP estas la plej oftaj kontekstaj datumbutikoj uzataj de enigitaj UEBA-solvoj.
Disponibilidad Provizas la listigitajn funkciojn kiel memstara produkto. Estas neeble aĉeti enkonstruitan UEBA-funkciecon sen aĉeti eksteran solvon, en kiu ĝi estas konstruita.
Fonto: Gartner (majo 2019)

Tiel, por solvi certajn problemojn, enigita UEBA povas uzi bazan UEBA-analitiko (ekzemple, simpla nekontrolita maŝinlernado), sed samtempe, pro aliro al precize la necesaj datumoj, ĝi povas esti ĝenerale pli efika ol "pura" UEBA-solvo. Samtempe, "puraj" UEBA-platformoj, kiel atendite, ofertas pli kompleksajn analizojn kiel la ĉefan scion kompare kun la enkonstruita UEBA-ilo. Ĉi tiuj rezultoj estas resumitaj en Tabelo 2.

Tablo 2. La rezulto de la diferencoj inter "pura" kaj enkonstruita UEBA

kategorio "Puraj" UEBA-platformoj Aliaj solvoj kun enkonstruita UEBA
Analitiko Aplikebleco por solvi diversajn komercajn problemojn implicas pli universalan aron de UEBA-funkcioj kun emfazo de pli kompleksa analizo kaj maŝinlernado-modeloj. Fokigi pli malgrandan aron de komercaj problemoj signifas tre specialigitajn funkciojn, kiuj fokusiĝas al aplikaĵ-specifaj modeloj kun pli simpla logiko.
Analitiko Personigo de la analiza modelo estas necesa por ĉiu aplika scenaro. Analizaj modeloj estas antaŭ-agorditaj por la ilo, kiu havas UEBA enkonstruitan en ĝi. Ilo kun enkonstruita UEBA ĝenerale atingas pli rapidajn rezultojn en solvado de certaj komercaj problemoj.
Fontoj de datumoj Aliro al datumfontoj de ĉiuj anguloj de la kompania infrastrukturo. Pli malmultaj datumfontoj, kutime limigitaj per la havebleco de agentoj por ili aŭ la ilo mem kun UEBA-funkcioj.
Fontoj de datumoj La informoj enhavitaj en ĉiu protokolo povas esti limigitaj de la datumfonto kaj eble ne enhavas ĉiujn necesajn datumojn por la centralizita UEBA-ilo. La kvanto kaj detalo de la krudaj datumoj kolektitaj de la agento kaj transdonitaj al UEBA povas esti specife agordita.
arkitekturo Ĝi estas kompleta UEBA-produkto por organizo. Integriĝo estas pli facila uzante la kapablojn de SIEM-sistemo aŭ Datuma lago. Postulas apartan aron de UEBA-funkcioj por ĉiu el la solvoj, kiuj havas enkonstruitan UEBA. Enkorpigitaj UEBA-solvoj ofte postulas instali agentojn kaj administri datumojn.
Integriĝo Mana integriĝo de la UEBA-solvo kun aliaj iloj en ĉiu kazo. Permesas al organizo konstrui sian teknologian stakon surbaze de la "plej bona inter analogoj" aliro. La ĉefaj pakaĵoj de UEBA-funkcioj jam estas inkluzivitaj en la ilo mem de la fabrikanto. La UEBA-modulo estas enkonstruita kaj ne povas esti forigita, do klientoj ne povas anstataŭigi ĝin per io propra.
Fonto: Gartner (majo 2019)

UEBA kiel funkcio

UEBA fariĝas trajto de fin-al-finaj cibersekurecaj solvoj, kiuj povas profiti el pliaj analizoj. UEBA subestas ĉi tiujn solvojn, provizante potencan tavolon de altnivela analizo bazita sur uzantaj kaj/aŭ entaj kondutpadronoj.

Nuntempe sur la merkato, la enkonstruita UEBA-funkcio estas efektivigita en la sekvaj solvoj, grupigitaj laŭ teknologia amplekso:

  • Daten-fokusita revizio kaj protekto, estas vendistoj kiuj estas temigis plibonigado de la sekureco de strukturita kaj nestrukturita datumstokado (alinome DCAP).

    En ĉi tiu kategorio de vendistoj, Gartner notas, interalie, Platformo pri cibersekureco Varonis, kiu ofertas uzantajn kondutanalitikojn por monitori ŝanĝojn en nestrukturitaj datenpermesoj, aliro kaj uzado tra malsamaj informbutikoj.

  • CASB-sistemoj, proponante protekton kontraŭ diversaj minacoj en nub-bazitaj SaaS-aplikoj blokante aliron al nubaj servoj por nedezirataj aparatoj, uzantoj kaj aplikaĵversioj uzante adaptan alirkontrolsistemon.

    Ĉiuj merkat-gvidaj CASB-solvoj inkluzivas UEBA-kapablojn.

  • DLP-solvoj - fokusita al detektado de la translokigo de kritikaj datumoj ekster la organizo aŭ ĝia misuzo.

    DLP-progresoj estas plejparte bazitaj sur komprenado de enhavo, kun malpli fokuso sur komprenado de kunteksto kiel ekzemple uzanto, aplikaĵo, loko, tempo, rapideco de la okazaĵoj, kaj aliaj eksteraj faktoroj. Por esti efikaj, DLP-produktoj devas rekoni kaj enhavon kaj kuntekston. Tial multaj fabrikantoj komencas integri UEBA-funkciecon en siajn solvojn.

  • Monitorado de dungitoj estas la kapablo registri kaj reludi dungitajn agojn, kutime en datumformato taŭga por juraj procedoj (se necese).

    Konstante monitorado de uzantoj ofte generas superfortan kvanton da datumoj, kiuj postulas manan filtradon kaj homan analizon. Sekve, UEBA estas uzata ene de monitoraj sistemoj por plibonigi la agadon de ĉi tiuj solvoj kaj detekti nur riskajn incidentojn.

  • Finpunkto Sekureco - Solvoj pri finpunktodetekto kaj respondo (EDR) kaj finpunktoprotektplatformoj (EPP) provizas potencan instrumentadon kaj operaciuman telemetrion por
    finaj aparatoj.

    Tia uzant-rilata telemetrio povas esti analizita por disponigi enkonstruitan UEBA-funkciecon.

  • Interreta fraŭdo - Interretaj fraŭdaj detektaj solvoj detektas devian agadon, kiu indikas kompromison de la konto de kliento per parodio, malware aŭ ekspluatado de nesekurigitaj konektoj/retumila trafika interkapto.

    Plej multaj fraŭdaj solvoj uzas la esencon de UEBA, transakcia analizo kaj aparato-mezurado, kun pli altnivelaj sistemoj kompletigante ilin kongruante rilatojn en la identecdatumbazo.

  • IAM kaj alirkontrolo - Gartner notas evoluan tendencon inter alirkontrolsistemoj vendistoj integriĝi kun puraj vendistoj kaj konstrui iujn UEBA-funkciecon en siaj produktoj.
  • IAM kaj Identity Governance and Administration (IGA) sistemoj uzu UEBA por kovri kondutismajn kaj identecanalitikajn scenarojn kiel ekzemple anomaliodetekto, dinamika grupa analizo de similaj estaĵoj, ensalutanalizo kaj alirpolitika analizo.
  • IAM kaj Privilegia Aliro-Administrado (PAM) – Pro la rolo de monitorado de la uzo de administraj kontoj, PAM-solvoj havas telemetrion por montri kiel, kial, kiam kaj kie administraj kontoj estis uzataj. Ĉi tiuj datumoj povas esti analizitaj uzante la enkonstruitan funkciecon de UEBA por la ĉeesto de anomalia konduto de administrantoj aŭ malica intenco.
  • Produktantoj NTA (Reto-Trafika Analizo) - uzu kombinaĵon de maŝinlernado, altnivela analizo kaj regul-bazita detekto por identigi suspektindan agadon en kompaniaj retoj.

    NTA-iloj kontinue analizas fontotrafikon kaj/aŭ fluajn rekordojn (ekz. NetFlow) por konstrui modelojn kiuj reflektas normalan retkonduton, ĉefe temigante entan kondutanalitiko.

  • siem - Multaj vendistoj de SIEM nun havas altnivelan datuman analizfunkcion konstruitan en SIEM, aŭ kiel apartan UEBA-modulon. Dum 2018 kaj ĝis nun en 2019, estis kontinua malklariĝo de la limoj inter SIEM kaj UEBA-funkcieco, kiel diskutite en la artikolo. "Teknologia Kompromo por la Moderna SIEM". SIEM-sistemoj pliboniĝis pri laborado kun analizoj kaj ofertado de pli kompleksaj aplikaĵscenaroj.

UEBA-Aplikaj Scenaroj

UEBA-solvoj povas solvi vastan gamon de problemoj. Tamen, klientoj de Gartner konsentas, ke la ĉefa uzkazo implikas detekti diversajn kategoriojn da minacoj, atingitaj per montrado kaj analizado de oftaj korelacioj inter uzantkonduto kaj aliaj estaĵoj:

  • neaŭtorizita aliro kaj movado de datumoj;
  • suspektinda konduto de privilegiitaj uzantoj, malica aŭ neaŭtorizita agado de dungitoj;
  • ne-norma aliro kaj uzo de nubaj rimedoj;
  • kaj aliaj.

Ekzistas ankaŭ kelkaj maltipaj ne-cibersekurecaj uzkazoj, kiel ekzemple fraŭdo aŭ dungita monitorado, por kiuj UEBA povas esti pravigita. Tamen, ili ofte postulas datumfontojn ekster IT kaj informa sekureco, aŭ specifajn analizajn modelojn kun profunda kompreno de ĉi tiu areo. La kvin ĉefaj scenaroj kaj aplikoj, pri kiuj ambaŭ UEBA-produktantoj kaj iliaj klientoj konsentas, estas priskribitaj malsupre.

"Malica Internulo"

UEBA-solvoprovizantoj kiuj kovras ĉi tiun scenaron nur monitoras dungitojn kaj fidindajn entreprenistojn por nekutima, "malbona" ​​aŭ malica konduto. Vendistoj en ĉi tiu areo de kompetenteco ne kontrolas aŭ analizas la konduton de servokontoj aŭ aliaj ne-homaj estaĵoj. Plejparte pro tio, ili ne fokusiĝas al detektado de altnivelaj minacoj, kie piratoj transprenas ekzistantajn kontojn. Anstataŭe, ili celas identigi dungitojn implikitajn en malutilaj agadoj.

Esence, la koncepto de "malica internulo" devenas de fidindaj uzantoj kun malica intenco, kiuj serĉas manierojn kaŭzi damaĝon al sia dunganto. Ĉar malica intenco estas malfacile mezurebla, la plej bonaj vendistoj en ĉi tiu kategorio analizas kontekstajn kondutdatumojn, kiuj ne estas facile haveblaj en kontrolaj protokoloj.

Solvoprovizantoj en ĉi tiu spaco ankaŭ optimume aldonas kaj analizas nestrukturitajn datumojn, kiel retpoŝtan enhavon, produktemajn raportojn aŭ informojn pri sociaj amaskomunikiloj, por provizi kuntekston por konduto.

Kompromitaj internuloj kaj trudemaj minacoj

La defio estas rapide detekti kaj analizi "malbonan" konduton post kiam la atakanto akiris aliron al la organizo kaj komencas moviĝi ene de la IT-infrastrukturo.
Asertaj minacoj (APTs), kiel nekonataj aŭ ankoraŭ ne plene komprenitaj minacoj, estas ekstreme malfacile detekteblaj kaj ofte kaŝitaj malantaŭ legitimaj uzant-agado aŭ servokontoj. Tiaj minacoj kutime havas kompleksan operacian modelon (vidu, ekzemple, la artikolon " Pritraktante la Cibermortigan Ĉenon") aŭ ilia konduto ankoraŭ ne estis taksita kiel malutila. Tio malfaciligas ilin detekti uzante simplajn analizojn (kiel ekzemple kongruo per ŝablonoj, sojloj aŭ korelaciaj reguloj).

Tamen, multaj el ĉi tiuj trudemaj minacoj rezultigas ne-norman konduton, ofte implikante sensuspektajn uzantojn aŭ unuojn (alinome kompromititajn internulojn). UEBA-teknikoj ofertas plurajn interesajn ŝancojn por detekti tiajn minacojn, plibonigi signal-al-bruo-proporcion, plifirmigi kaj redukti sciigan volumon, prioritati ceterajn alarmojn kaj faciligi efikan okazaĵrespondon kaj enketon.

UEBA-vendistoj celantaj tiun problemon ofte havas dudirektan integriĝon kun la SIEM-sistemoj de la organizo.

Eksfiltrado de datumoj

La tasko en ĉi tiu kazo estas detekti la fakton, ke datumoj estas translokigitaj ekster la organizo.
Vendistoj koncentritaj pri ĉi tiu defio kutime utiligas DLP aŭ DAG-kapablojn kun anomalia detekto kaj altnivela analizo, tiel plibonigante signal-al-bruo-proporcion, plifirmigante sciigan volumon kaj prioritatante ceterajn ellasilon. Por kroma kunteksto, vendistoj tipe fidas pli peze je rettrafiko (kiel ekzemple interretaj prokuriloj) kaj finpunktodatenoj, ĉar analizo de tiuj datenfontoj povas helpi en dateneksfiltrado-enketoj.

Detekto de elfiltriĝo de datumoj estas uzata por kapti internulojn kaj eksterajn retpiratojn, kiuj minacas la organizon.

Identigo kaj administrado de privilegia aliro

Fabrikistoj de sendependaj UEBA-solvoj en ĉi tiu areo de kompetenteco observas kaj analizas la konduton de uzanto sur la fono de jam formita sistemo de rajtoj por identigi troajn privilegiojn aŭ anomalian aliron. Ĉi tio validas por ĉiuj specoj de uzantoj kaj kontoj, inkluzive de privilegiaj kaj servokontoj. Organizoj ankaŭ uzas UEBA por forigi neaktivajn kontojn kaj uzantajn privilegiojn, kiuj estas pli altaj ol necesaj.

Incidento prioritato

La celo de ĉi tiu tasko estas prioritatigi sciigojn generitajn de solvoj en ilia teknologia stako por kompreni kiuj okazaĵoj aŭ eblaj okazaĵoj devus esti traktitaj unue. UEBA-metodaroj kaj iloj estas utilaj por identigi okazaĵojn kiuj estas aparte anomaliaj aŭ precipe danĝeraj por antaŭfiksita organizo. En ĉi tiu kazo, la mekanismo de UEBA ne nur uzas la bazan nivelon de agado kaj minaco-modeloj, sed ankaŭ saturas la datumojn per informoj pri la organiza strukturo de la kompanio (ekzemple, kritikaj rimedoj aŭ roloj kaj alirniveloj de dungitoj).

Problemoj de efektivigo de UEBA-solvoj

La merkata doloro de UEBA-solvoj estas ilia alta prezo, kompleksa efektivigo, bontenado kaj uzo. Dum kompanioj luktas kun la nombro da malsamaj internaj portaloj, ili ricevas alian konzolon. La grandeco de la investo de tempo kaj rimedoj en nova ilo dependas de la manaj taskoj kaj de la specoj de analizo necesaj por solvi ilin, kaj plej ofte postulas grandajn investojn.

Kontraŭe al tio, kion asertas multaj fabrikantoj, UEBA ne estas ilo "agordu kaj forgesu ĝin", kiu tiam povas funkcii senĉese dum tagoj.
Klientoj de Gartner, ekzemple, rimarkas, ke necesas de 3 ĝis 6 monatoj por lanĉi UEBA-iniciaton de nulo por akiri la unuajn rezultojn de solvado de la problemoj por kiuj ĉi tiu solvo estis efektivigita. Por pli kompleksaj taskoj, kiel identigi internajn minacojn en organizo, la periodo pliiĝas al 18 monatoj.

Faktoroj influantaj la malfacilecon efektivigi UEBA kaj la estontan efikecon de la ilo:

  • Komplekseco de organiza arkitekturo, retotopologio kaj datumadministradpolitikoj
  • Havebleco de la ĝustaj datumoj ĉe la ĝusta nivelo de detalo
  • La komplekseco de la analizaj algoritmoj de la vendisto - ekzemple, la uzo de statistikaj modeloj kaj maŝinlernado kontraŭ simplaj ŝablonoj kaj reguloj.
  • La kvanto de antaŭ-agordita analizo inkluzivita - tio estas, la kompreno de la fabrikanto pri kiaj datumoj devas esti kolektitaj por ĉiu tasko kaj kiaj variabloj kaj atributoj estas plej gravaj por plenumi la analizon.
  • Kiel facile estas por fabrikanto aŭtomate integriĝi kun la bezonataj datumoj.

    Ekzemple:

    • Se UEBA-solvo uzas SIEM-sistemon kiel la ĉefan fonton de siaj datumoj, ĉu la SIEM kolektas informojn de la postulataj datumfontoj?
    • Ĉu la necesaj eventaj protokoloj kaj organizaj kuntekstaj datumoj povas esti direktitaj al UEBA-solvo?
    • Se la SIEM-sistemo ankoraŭ ne kolektas kaj kontrolas la datumfontojn bezonatajn de la UEBA-solvo, tiam kiel ili povas esti translokigitaj tien?

  • Kiom gravas la aplikaĵoscenaro por la organizo, kiom da datumfontoj ĝi postulas, kaj kiom ĉi tiu tasko interkovras kun la kompetenteco de la fabrikanto.
  • Kia grado de organiza matureco kaj engaĝiĝo necesas - ekzemple, la kreado, evoluo kaj rafinado de reguloj kaj modeloj; asignante pezojn al variabloj por taksado; aŭ ĝustigi la riskotaksan sojlon.
  • Kiel skalebla estas la solvo kaj ĝia arkitekturo de la vendisto kompare kun la nuna grandeco de la organizo kaj ĝiaj estontaj postuloj.
  • Tempo por konstrui bazajn modelojn, profilojn kaj ŝlosilajn grupojn. Fabrikistoj ofte postulas almenaŭ 30 tagojn (kaj foje ĝis 90 tagojn) por fari analizon antaŭ ol ili povas difini "normalajn" konceptojn. Ŝarĝi historiajn datumojn unufoje povas akceli modelan trejnadon. Kelkaj el la interesaj kazoj povas esti identigitaj pli rapide uzante regulojn ol uzi maŝinlernadon kun nekredeble malgranda kvanto da komencaj datumoj.
  • La nivelo de penado necesa por konstrui dinamikan grupigon kaj kontoprofiladon (servo/persono) povas multe varii inter solvoj.

fonto: www.habr.com

Aldoni komenton