ProHoster > Blogi > internetiuudised > UEBA turg on surnud – elagu UEBA

UEBA turg on surnud – elagu UEBA

UEBA turg on surnud – elagu UEBA

Täna anname lühiülevaate UEBA (User and Entity Behavioral Analytics) turust, tuginedes viimastele Gartneri uuringud. Vastavalt Gartner Hype Cycle for Threat-Facing Technologies andmetele on UEBA turg "pettumuse etapi" allosas, mis näitab tehnoloogia küpsust. Kuid olukorra paradoks peitub samaaegses üldises investeeringute kasvus UEBA tehnoloogiatesse ja iseseisvate UEBA lahenduste turu hääbumises. Gartner ennustab, et UEBAst saab osa seotud infoturbelahenduste funktsionaalsusest. Tõenäoliselt langeb mõiste "UEBA" kasutusest välja ja see asendatakse mõne teise akronüümiga, mis keskendub kitsamale rakendusvaldkonnale (nt "kasutaja käitumise analüüs"), sarnasele rakendusvaldkonnale (nt "andmeanalüütika") või muutub lihtsalt mõneks. uus moesõna (näiteks mõiste "tehisintellekt" [AI] tundub huvitav, kuigi tänapäeva UEBA tootjate jaoks pole sellel mingit mõtet).

Gartneri uuringu peamised järeldused võib kokku võtta järgmiselt:

  • Kasutajate ja üksuste käitumisanalüütika turu küpsust kinnitab asjaolu, et neid tehnoloogiaid kasutavad keskmised ja suured ettevõtete segmendid mitmete äriprobleemide lahendamiseks;
  • UEBA analüütikavõimalused on sisse ehitatud paljudesse seotud infoturbetehnoloogiatesse, nagu pilve juurdepääsu turbevahendajad (CASB-d), identiteedihalduse ja halduse (IGA) SIEM-süsteemid;
  • UEBA müüjate ümber leviv hüpe ja mõiste "tehisintellekt" ebaõige kasutamine muudab klientidel keeruliseks mõista tegelikku erinevust tootjate tehnoloogiate ja lahenduste funktsionaalsuse vahel ilma pilootprojekti läbi viimata;
  • Kliendid märgivad, et UEBA lahenduste juurutamise aeg ja igapäevane kasutamine võib olla töö- ja aeganõudvam, kui tootja lubab, isegi kui arvestada vaid põhilisi ohutuvastusmudeleid. Kohandatud või servakasutusjuhtude lisamine võib olla äärmiselt keeruline ning nõuda andmeteaduse ja -analüütika alast teadmisi.

Strateegiline turuarengu prognoos:

  • Aastaks 2021 lakkab kasutajate ja üksuste käitumisanalüütika (UEBA) süsteemide turg eksisteerimast eraldiseisva valdkonnana ja nihkub muudele UEBA funktsionaalsusega lahendustele;
  • Aastaks 2020 on 95% kõigist UEBA juurutamistest osa laiemast turvaplatvormist.

UEBA lahenduste määratlus

UEBA lahendused kasutavad sisseehitatud analüütikat, et hinnata kasutajate ja muude üksuste (nt hostid, rakendused, võrguliiklus ja andmesalved) tegevust.
Need tuvastavad ohud ja võimalikud intsidendid, mis tavaliselt esindavad anomaalset tegevust võrreldes sarnaste rühmade kasutajate ja üksuste standardprofiili ja käitumisega teatud aja jooksul.

Ettevõtlussegmendis on kõige levinumad kasutusjuhud ohtude tuvastamine ja reageerimine, samuti siseohtude tuvastamine ja neile reageerimine (enamasti ohustatud siseringid; mõnikord ka siseründajad).

UEBA on nagu otsusJa funktsioon, mis on sisse ehitatud konkreetsesse tööriista:

  • Lahenduseks on “puhaste” UEBA platvormide tootjad, sealhulgas müüjad, kes müüvad ka SIEM-lahendusi eraldi. Keskendutakse paljudele äriprobleemidele nii kasutajate kui ka üksuste käitumisanalüütikas.
  • Manustatud – tootjad/jaoskonnad, kes integreerivad UEBA funktsioone ja tehnoloogiaid oma lahendustesse. Tavaliselt keskendutakse konkreetsemale äriprobleemide kogumile. Sel juhul kasutatakse UEBA-d kasutajate ja/või üksuste käitumise analüüsimiseks.

Gartner vaatleb UEBA-d mööda kolme telge, sealhulgas probleemide lahendajad, analüütika ja andmeallikad (vt joonist).

UEBA turg on surnud – elagu UEBA

"Puhas" UEBA platvormid versus sisseehitatud UEBA

Gartner peab "puhtaks" UEBA platvormiks lahendusi, mis:

  • lahendada mitmeid spetsiifilisi probleeme, nagu privilegeeritud kasutajate jälgimine või andmete väljastamine väljaspool organisatsiooni, mitte ainult abstraktne "kasutaja ebanormaalse tegevuse jälgimine";
  • hõlmama keeruka analüütika kasutamist, mis põhinevad tingimata põhilistel analüütilistel lähenemisviisidel;
  • pakkuda andmete kogumiseks mitut võimalust, sealhulgas nii sisseehitatud andmeallika mehhanisme kui ka logihaldustööriistu, Data Lake'i ja/või SIEM-i süsteeme, ilma et oleks vaja taristusse eraldi agente juurutada;
  • saab osta ja kasutusele võtta eraldiseisvate lahendustena, mitte kaasata
    muude toodete koostis.

Allolevas tabelis võrreldakse kahte lähenemisviisi.

Tabel 1. Puhtad UEBA lahendused vs sisseehitatud lahendused

Kategooria "Puhas" UEBA platvormid Muud sisseehitatud UEBA-ga lahendused
Probleem tuleb lahendada Kasutaja käitumise ja olemite analüüs. Andmete puudumine võib piirata UEBA-t analüüsida ainult kasutajate või üksuste käitumist.
Probleem tuleb lahendada Aitab lahendada mitmesuguseid probleeme Spetsialiseerub piiratud hulgale ülesannetele
Analytics Anomaaliate tuvastamine erinevate analüütiliste meetodite abil – peamiselt statistiliste mudelite ja masinõppe abil koos reeglite ja signatuuridega. Kaasas sisseehitatud analüütika, et luua ja võrrelda kasutajate ja üksuste tegevusi nende ja kolleegide profiilidega. Sarnaselt puhtale UEBA-le, kuid analüüs võib piirduda ainult kasutajate ja/või üksustega.
Analytics Täiustatud analüüsivõimalused, mida ei piira ainult reeglid. Näiteks rühmitusalgoritm koos olemite dünaamilise rühmitamisega. Sarnaselt puhtale UEBA-le, kuid üksuste rühmitamist saab mõnes manustatud ohumudelis muuta ainult käsitsi.
Analytics Kasutajate ja muude üksuste tegevuse ja käitumise korrelatsioon (näiteks Bayesi võrgustike kasutamine) ja individuaalse riskikäitumise koondamine anomaalse tegevuse tuvastamiseks. Sarnaselt puhtale UEBA-le, kuid analüüs võib piirduda ainult kasutajate ja/või üksustega.
Andmeallikad Kasutajate ja üksuste sündmuste vastuvõtmine andmeallikatest otse sisseehitatud mehhanismide või olemasolevate andmesalvede (nt SIEM või Data Lake) kaudu. Andmete hankimise mehhanismid on tavaliselt ainult otsesed ja mõjutavad ainult kasutajaid ja/või muid üksusi. Ärge kasutage logihaldustööriistu / SIEM-i / Data Lake'i.
Andmeallikad Lahendus ei tohiks tugineda ainult võrguliiklusele kui peamisele andmeallikale ega ka telemeetria kogumisel ainult oma agentidele. Lahendus saab keskenduda ainult võrguliiklusele (näiteks NTA – võrguliikluse analüüs) ja/või kasutada selle agente lõppseadmetes (näiteks töötajate jälgimise utiliidid).
Andmeallikad Kasutaja/üksuse andmete küllastamine kontekstiga. Toetab struktureeritud sündmuste kogumist reaalajas, samuti struktureeritud/struktureerimata sidusandmete kogumist IT-kataloogidest - näiteks Active Directory (AD) või muudest masinloetavatest teaberessurssidest (näiteks personaliandmebaasid). Sarnaselt puhtale UEBA-le, kuid kontekstiandmete ulatus võib igal juhul erineda. AD ja LDAP on kõige levinumad kontekstuaalsed andmehoidlad, mida manustatud UEBA lahendused kasutavad.
Kättesaadavus Pakub loetletud funktsioone eraldiseisva tootena. Sisseehitatud UEBA funktsionaalsust on võimatu osta ilma välist lahendust ostmata, millesse see on ehitatud.
Allikas: Gartner (mai 2019)

Seega saab manustatud UEBA teatud probleemide lahendamiseks kasutada UEBA põhianalüütikat (näiteks lihtsat järelevalveta masinõpet), kuid samas võib see tänu juurdepääsule täpselt vajalikele andmetele olla üldiselt tõhusam kui "puhas" UEBA lahendus. Samas pakuvad “puhtad” UEBA platvormid ootuspäraselt peamise oskusteabena keerukamat analüütikat võrreldes sisseehitatud UEBA tööriistaga. Need tulemused on kokku võetud tabelis 2.

Tabel 2. Puhta ja sisseehitatud UEBA erinevuste tulemus

Kategooria "Puhas" UEBA platvormid Muud sisseehitatud UEBA-ga lahendused
Analytics Rakendatavus mitmesuguste äriprobleemide lahendamiseks eeldab universaalsemat UEBA funktsioonide komplekti, rõhuasetusega keerukamatele analüüsidele ja masinõppe mudelitele. Väiksematele äriprobleemidele keskendumine tähendab väga spetsiifilisi funktsioone, mis keskenduvad lihtsama loogikaga rakendusespetsiifilistele mudelitele.
Analytics Analüütilise mudeli kohandamine on vajalik iga rakenduse stsenaariumi jaoks. Analüütilised mudelid on eelkonfigureeritud tööriista jaoks, millesse on sisse ehitatud UEBA. Sisseehitatud UEBA-ga tööriist saavutab üldjuhul kiiremaid tulemusi teatud äriprobleemide lahendamisel.
Andmeallikad Juurdepääs andmeallikatele ettevõtte infrastruktuuri kõigist nurkadest. Vähem andmeallikaid, mida tavaliselt piirab agentide või UEBA funktsioonidega tööriista enda saadavus.
Andmeallikad Igas logis sisalduv teave võib olla andmeallika poolt piiratud ja see ei pruugi sisaldada kõiki tsentraliseeritud UEBA tööriista jaoks vajalikke andmeid. Agendi kogutud ja UEBA-le edastatavate algandmete hulka ja üksikasju saab konkreetselt konfigureerida.
arhitektuur See on terviklik UEBA toode organisatsioonile. Integreerimine on lihtsam, kasutades SIEM-süsteemi või Data Lake'i võimalusi. Nõuab iga sisseehitatud UEBA-ga lahenduse jaoks eraldi UEBA funktsioonide komplekti. Manustatud UEBA lahendused nõuavad sageli agentide installimist ja andmete haldamist.
Integratsioon UEBA lahenduse käsitsi integreerimine muude tööriistadega igal juhul. Võimaldab organisatsioonil luua oma tehnoloogiavirna, mis põhineb "analoogide seas parimal" lähenemisviisil. Peamised UEBA funktsioonide komplektid on tootja juba tööriista endasse kaasanud. UEBA moodul on sisseehitatud ja seda ei saa eemaldada, seega ei saa kliendid seda millegi omaga asendada.
Allikas: Gartner (mai 2019)

UEBA funktsioonina

UEBA-st on saamas täielike küberturvalisuse lahenduste funktsioon, mis võib täiendavast analüüsist kasu saada. UEBA on nende lahenduste aluseks, pakkudes võimsat täiustatud analüüsikihti, mis põhineb kasutajate ja/või üksuste käitumismustritel.

Praegu turul olev sisseehitatud UEBA funktsionaalsus on rakendatud järgmistes lahendustes, mis on rühmitatud tehnoloogilise ulatuse järgi:

  • Andmekeskne audit ja kaitse, on müüjad, kes on keskendunud struktureeritud ja struktureerimata andmesalvestuse (teise nimega DCAP) turvalisuse parandamisele.

    Selles müüjate kategoorias märgib Gartner muu hulgas Varonis küberturvalisuse platvorm, mis pakub kasutaja käitumise analüüse, et jälgida struktureerimata andmete lubade, juurdepääsu ja kasutuse muutusi erinevates teabepoodides.

  • CASB süsteemid, pakkudes kaitset erinevate ohtude eest pilvepõhistes SaaS-i rakendustes, blokeerides adaptiivse juurdepääsukontrollisüsteemi abil soovimatute seadmete, kasutajate ja rakenduste versioonide juurdepääsu pilveteenustele.

    Kõik turuliidri CASB lahendused sisaldavad UEBA võimalusi.

  • DLP lahendused – keskendunud kriitiliste andmete organisatsioonist väljapoole edastamise või selle kuritarvitamise tuvastamisele.

    DLP edusammud põhinevad suuresti sisu mõistmisel, keskendudes vähem konteksti, nagu kasutaja, rakendus, asukoht, aeg, sündmuste kiirus ja muud välised tegurid, mõistmisele. Tõhususe tagamiseks peavad DLP-tooted ära tundma nii sisu kui ka konteksti. Seetõttu hakkavad paljud tootjad UEBA funktsioone oma lahendustesse integreerima.

  • Töötajate jälgimine on töötajate tegevuste salvestamise ja taasesitamise võimalus, tavaliselt kohtumenetluseks sobivas andmevormingus (vajadusel).

    Kasutajate pidev jälgimine genereerib sageli tohutul hulgal andmeid, mis nõuavad käsitsi filtreerimist ja inimanalüüsi. Seetõttu kasutatakse UEBA-d seiresüsteemides, et parandada nende lahenduste jõudlust ja tuvastada ainult kõrge riskiga intsidente.

  • Lõpp-punkti turvalisus – Lõpp-punkti tuvastamise ja reageerimise (EDR) lahendused ja lõpp-punkti kaitseplatvormid (EPP) pakuvad võimsaid instrumente ja operatsioonisüsteemi telemeetria
    lõppseadmed.

    Sellist kasutajaga seotud telemeetriat saab analüüsida, et pakkuda sisseehitatud UEBA funktsionaalsust.

  • Interneti-pettus – Veebipõhised pettuste tuvastamise lahendused tuvastavad kõrvalekalduva tegevuse, mis viitab kliendi konto ohustamisele võltsimise, pahavara või turvamata ühenduste/brauseri liikluse pealtkuulamise kaudu.

    Enamik pettuselahendusi kasutab UEBA olemust, tehinguanalüüsi ja seadmete mõõtmist, täiustatud süsteemid täiendavad neid identiteediandmebaasis olevate suhete sobitamisega.

  • IAM ja juurdepääsu kontroll – Gartner märgib juurdepääsukontrollisüsteemide tarnijate seas evolutsioonilist suundumust integreeruda puhaste tarnijatega ja ehitada oma toodetesse mõned UEBA funktsioonid.
  • IAM ja identiteedi valitsemise ja halduse (IGA) süsteemid kasutage UEBA-d, et katta käitumis- ja identiteedianalüüsi stsenaariume, nagu anomaaliate tuvastamine, sarnaste üksuste dünaamiline rühmitamise analüüs, sisselogimisanalüüs ja juurdepääsupoliitika analüüs.
  • IAM ja privilegeeritud juurdepääsu haldus (PAM) – Tulenevalt halduskontode kasutamise jälgimise rollist on PAM-i lahendustel telemeetria, mis näitab, kuidas, miks, millal ja kus halduskontosid kasutati. Neid andmeid saab UEBA sisseehitatud funktsioonide abil analüüsida administraatorite ebanormaalse käitumise või pahatahtlike kavatsuste tuvastamiseks.
  • Tootjate NTA (võrguliikluse analüüs) – kasutage ettevõtte võrkudes toimuva kahtlase tegevuse tuvastamiseks masinõppe, täiustatud analüüsi ja reeglipõhise tuvastamise kombinatsiooni.

    NTA tööriistad analüüsivad pidevalt lähteliikluse ja/või vookirjeid (nt NetFlow), et luua mudeleid, mis peegeldavad tavalist võrgukäitumist, keskendudes peamiselt olemi käitumise analüüsile.

  • siem – Paljudel SIEM-i müüjatel on nüüd SIEM-i või eraldi UEBA moodulina sisseehitatud täiustatud andmeanalüütika funktsioonid. Kogu 2018. aasta ja siiani 2019. aasta jooksul on SIEM-i ja UEBA funktsionaalsuse piirid pidevalt hägustunud, nagu artiklis käsitletud. "Tehnoloogia ülevaade kaasaegse SIEM-i jaoks". SIEM-süsteemid on analüütikaga töötamisel ja keerukamate rakendusstsenaariumide pakkumisel muutunud paremaks.

UEBA rakendusstsenaariumid

UEBA lahendused võivad lahendada väga erinevaid probleeme. Gartneri kliendid nõustuvad siiski, et esmane kasutusjuhtum hõlmab erinevate ohtude kategooriate tuvastamist, mis saavutatakse kasutaja käitumise ja muude üksuste vaheliste sagedaste korrelatsioonide kuvamise ja analüüsimisega.

  • volitamata juurdepääs ja andmete liikumine;
  • privilegeeritud kasutajate kahtlane käitumine, töötajate pahatahtlik või volitamata tegevus;
  • mittestandardne juurdepääs ja pilveressursside kasutamine;
  • jne

Samuti on mitmeid ebatüüpilisi küberturvalisusega mitteseotud kasutusjuhtumeid, nagu pettused või töötajate jälgimine, mille puhul UEBA võib olla õigustatud. Sageli nõuavad nad aga andmeallikaid väljaspool IT- ja infoturvet või spetsiifilisi analüütilisi mudeleid, mis seda valdkonda sügavalt mõistavad. Allpool kirjeldatakse viit peamist stsenaariumi ja rakendust, milles nii UEBA tootjad kui ka nende kliendid nõustuvad.

"Pahatahtlik sisering"

Seda stsenaariumi katavad UEBA lahenduste pakkujad jälgivad ainult töötajaid ja usaldusväärseid töövõtjaid ebatavalise, "halva" või pahatahtliku käitumise suhtes. Selle valdkonna müüjad ei jälgi ega analüüsi teenusekontode ega muude mitteinimlike üksuste käitumist. Suuresti seetõttu ei keskendu nad arenenud ohtude tuvastamisele, kus häkkerid võtavad üle olemasolevad kontod. Selle asemel on need suunatud kahjulike tegevustega seotud töötajate tuvastamisele.

Põhimõtteliselt tuleneb "pahatahtliku siseringi" kontseptsioon pahatahtlike kavatsustega usaldusväärsetest kasutajatest, kes otsivad viise oma tööandjale kahju tekitamiseks. Kuna pahatahtlikku kavatsust on raske mõõta, analüüsivad selle kategooria parimad müüjad kontekstipõhise käitumise andmeid, mis pole auditilogides hõlpsasti kättesaadavad.

Selles ruumis asuvad lahenduste pakkujad lisavad ja analüüsivad optimaalselt ka struktureerimata andmeid, nagu meili sisu, tootlikkuse aruanded või sotsiaalmeedia teave, et pakkuda käitumisele konteksti.

Ohustatud siseringi ja pealetükkivad ohud

Väljakutse on kiiresti tuvastada ja analüüsida "halba" käitumist, kui ründaja on saanud juurdepääsu organisatsioonile ja hakkab IT-infrastruktuuris liikuma.
Enesekindlaid ohte (APT), nagu tundmatuid või veel täielikult arusaamatuid ohte, on äärmiselt raske tuvastada ja sageli peituvad need seadusliku kasutajategevuse või teenusekontode taha. Sellistel ohtudel on tavaliselt keeruline toimimismudel (vt näiteks artiklit " Kübertapmise ahela käsitlemine") või nende käitumist ei ole veel hinnatud kahjulikuks. See muudab nende tuvastamise lihtsa analüütika abil (nt mustrite, lävede või korrelatsioonireeglite järgi sobitamine) keeruliseks.

Paljud neist pealetükkivatest ohtudest põhjustavad aga ebastandardset käitumist, kaasates sageli pahaaimamatuid kasutajaid või üksusi (teise nimega ohustatud siseringi). UEBA tehnikad pakuvad mitmeid huvitavaid võimalusi selliste ohtude tuvastamiseks, signaali-müra suhte parandamiseks, teavitusmahtude koondamiseks ja vähendamiseks, allesjäänud hoiatuste prioriteediks ning intsidentidele tõhusa reageerimise ja uurimise hõlbustamiseks.

Sellele probleemsele valdkonnale suunatud UEBA müüjatel on sageli kahesuunaline integratsioon organisatsiooni SIEM-süsteemidega.

Andmete väljafiltreerimine

Sel juhul on ülesandeks tuvastada asjaolu, et andmeid edastatakse väljaspool organisatsiooni.
Sellele väljakutsele keskendunud müüjad kasutavad tavaliselt DLP- või DAG-i võimalusi anomaaliate tuvastamise ja täiustatud analüütika abil, parandades seeläbi signaali-müra suhet, suurendades teavituste mahtu ja seades prioriteediks ülejäänud päästikud. Täiendava konteksti jaoks toetuvad müüjad tavaliselt rohkem võrguliiklusele (nt veebipuhverserveritele) ja lõpp-punkti andmetele, kuna nende andmeallikate analüüs võib aidata andmete väljafiltreerimise uurimisel.

Andmete väljafiltreerimise tuvastamist kasutatakse organisatsiooni ohustavate sisemiste ja väliste häkkerite tabamiseks.

Privilegeeritud juurdepääsu tuvastamine ja haldamine

Selle valdkonna sõltumatute UEBA lahenduste tootjad jälgivad ja analüüsivad kasutajate käitumist juba väljakujunenud õiguste süsteemi taustal, et tuvastada liigseid privileege või ebanormaalset juurdepääsu. See kehtib igat tüüpi kasutajate ja kontode kohta, sealhulgas privilegeeritud ja teenusekontode kohta. Organisatsioonid kasutavad UEBA-d ka selleks, et vabaneda seisvatest kontodest ja kasutajaõigustest, mis on nõutavast suuremad.

Juhtumite prioriseerimine

Selle ülesande eesmärk on seada prioriteediks nende tehnoloogiavirnas olevate lahenduste genereeritud teatised, et mõista, milliste intsidentide või võimalike intsidentidega tuleks kõigepealt tegeleda. UEBA metoodikad ja tööriistad on kasulikud juhtumite tuvastamisel, mis on konkreetse organisatsiooni jaoks eriti ebanormaalsed või ohtlikud. Sel juhul ei kasuta UEBA mehhanism mitte ainult tegevus- ja ohumudelite baastaset, vaid küllastab andmed ka ettevõtte organisatsioonilise struktuuri kohta (näiteks kriitilised ressursid või rollid ja töötajate juurdepääsutasemed).

UEBA lahenduste juurutamise probleemid

UEBA lahenduste turuvalu on nende kõrge hind, kompleksne juurutamine, hooldus ja kasutamine. Samal ajal kui ettevõtted on hädas erinevate siseportaalide arvuga, saavad nad endale teise konsooli. Uue tööriista aja- ja ressursiinvesteeringu suurus sõltub eesseisvatest väljakutsetest ja nende lahendamiseks vajalikest analüütikatüüpidest ning nõuab enamasti suuri investeeringuid.

Vastupidiselt sellele, mida paljud tootjad väidavad, ei ole UEBA "seadista ja unusta" tööriist, mis võib seejärel päevi järjest töötada.
Näiteks Gartneri kliendid märgivad, et UEBA algatuse nullist käivitamiseks kulub 3–6 kuud, et saada esimesed tulemused probleemide lahendamisel, mille jaoks seda lahendust rakendati. Keerulisemate ülesannete puhul, nagu näiteks organisatsiooni siseohtude tuvastamine, pikeneb periood 18 kuuni.

UEBA rakendamise raskust ja vahendi tulevast tõhusust mõjutavad tegurid:

  • Organisatsiooni arhitektuuri, võrgu topoloogia ja andmehalduspoliitika keerukus
  • Õigete andmete kättesaadavus õigel detailsusastmel
  • Tarnija analüüsialgoritmide keerukus – näiteks statistiliste mudelite ja masinõppe kasutamine versus lihtsad mustrid ja reeglid.
  • Kaasa arvatud eelkonfigureeritud analüütika hulk – st tootja arusaam sellest, milliseid andmeid tuleb iga ülesande jaoks koguda ning millised muutujad ja atribuudid on analüüsi läbiviimiseks kõige olulisemad.
  • Kui lihtne on tootjal vajalike andmetega automaatselt integreeruda.

    Näiteks:

    • Kui UEBA lahendus kasutab peamise andmeallikana SIEM-süsteemi, siis kas SIEM kogub teavet vajalikest andmeallikatest?
    • Kas vajalikke sündmuste logisid ja organisatsiooni konteksti andmeid saab suunata UEBA lahendusse?
    • Kui SIEM-süsteem ei kogu ja kontrolli veel UEBA lahenduse jaoks vajalikke andmeallikaid, siis kuidas neid sinna üle kanda?

  • Kui oluline on rakenduse stsenaarium organisatsiooni jaoks, kui palju andmeallikaid see nõuab ja kui palju see ülesanne kattub tootja valdkonnaga.
  • Millist organisatsiooni küpsust ja kaasatust on vaja – näiteks reeglite ja mudelite loomine, arendamine ja täiustamine; hindamiseks muutujatele kaalude määramine; või riskianalüüsi läve kohandamine.
  • Kui skaleeritav on müüja lahendus ja selle arhitektuur võrreldes organisatsiooni praeguse suuruse ja tulevaste nõuetega.
  • Aeg põhimudelite, profiilide ja võtmerühmade loomiseks. Tootjatel kulub analüüsi tegemiseks sageli vähemalt 30 päeva (ja mõnikord kuni 90 päeva), enne kui nad saavad määratleda "tavalised" mõisted. Ajalooliste andmete ühekordne laadimine võib kiirendada mudeli väljaõpet. Mõningaid huvitavaid juhtumeid saab reeglite abil tuvastada kiiremini kui uskumatult väikese algandmete hulgaga masinõpet.
  • Dünaamilise rühmitamise ja kontoprofiilide (teenus/inimene) koostamiseks vajalik jõupingutuste tase võib lahenduste lõikes oluliselt erineda.

Allikas: www.habr.com

Lisa kommentaar