ProHoster > Blog > Interneteko albisteak > UEBA merkatua hil da - bizi UEBA

UEBA merkatua hil da - bizi UEBA

UEBA merkatua hil da - bizi UEBA

Gaur, Erabiltzaileen eta Entitateen Behavioral Analytics (UEBA) merkatuaren ikuspegi labur bat emango dugu azkenengoetan oinarrituta. Gartner ikerketa. UEBA merkatua "desilusio-etapa"ren behealdean dago Gartner Hype Cycle for Threat-Facing Technologies-en arabera, teknologiaren heldutasuna adieraziz. Baina egoeraren paradoxa UEBA teknologietan egindako inbertsioen aldi berean hazkunde orokorrean eta UEBA irtenbide independenteen merkatu desagertzean datza. Gartnerrek aurreikusten du UEBA erlazionatutako informazioaren segurtasun irtenbideen funtzionalitatearen parte bihurtuko dela. "UEBA" terminoa erabili gabe geldituko da eta aplikazio-eremu estuago batean (adibidez, "erabiltzaileen portaeraren analisia"), antzeko aplikazio-eremu batean (adibidez, "datuen analisia") ardaztutako beste akronimo batekin ordezkatuko da, edo, besterik gabe hitz berri berria (adibidez, "adimen artifiziala" [AI] terminoak interesgarria dirudi, nahiz eta UEBAko fabrikatzaile modernoentzat zentzurik ez duen).

Gartner ikerketaren ondorio nagusiak honela laburbil daitezke:

  • Erabiltzaileen eta entitateen jokabidearen analisiaren merkatuaren heldutasuna egiaztatzen da teknologia horiek enpresa-segmentu ertain eta handiek negozio-arazo batzuk konpontzeko erabiltzen dituztelako;
  • UEBA analitika-gaitasunak erlazionatutako informazioaren segurtasun-teknologien sorta zabal batean integratuta daude, hala nola hodeian sartzeko segurtasun-artekarien (CASB), identitatearen gobernantza eta administrazioa (IGA) SIEM sistemetan;
  • UEBAko saltzaileen inguruko iragarkiak eta "adimen artifiziala" terminoaren erabilera okerrak zaila egiten du bezeroek fabrikatzaileen teknologien eta soluzioen funtzionaltasunaren arteko benetako aldea ulertzea proiektu piloturik egin gabe;
  • Bezeroek ohartzen dute UEBA soluzioen ezarpen-denbora eta eguneroko erabilera fabrikatzaileak agintzen duena baino lan-eskaintza eta denbora gehiago izan daitezkeela, nahiz eta oinarrizko mehatxuak detektatzeko ereduak soilik kontuan hartu. Erabilera-kasu pertsonalizatuak edo ertzean gehitzea oso zaila izan daiteke eta datu-zientzian eta analitikan esperientzia eskatzen du.

Merkatuaren garapen estrategikoaren aurreikuspena:

  • 2021erako, erabiltzaileen eta entitateen jokabidearen analisiaren (UEBA) sistemen merkatua eremu bereizi gisa existitzeari utziko dio eta UEBA funtzionalitatea duten beste irtenbide batzuetara aldatuko da;
  • 2020rako, UEBAren inplementazio guztien % 95 segurtasun plataforma zabalago baten parte izango da.

UEBA irtenbideen definizioa

UEBA soluzioek analitika integratuak erabiltzen dituzte erabiltzaileen eta beste entitate batzuen jarduera ebaluatzeko (adibidez, ostalariak, aplikazioak, sareko trafikoa eta datu biltegiak).
Mehatxuak eta gertakari potentzialak antzematen dituzte, normalean jarduera anormalak adierazten dituzte denbora tarte batean antzeko taldeetako erabiltzaile eta entitateen profil eta portaera estandarrekin alderatuta.

Enpresa-segmentuko erabilera-kasurik ohikoenak mehatxuen detekzioa eta erantzuna dira, baita barneko mehatxuen detekzioa eta erantzuna ere (gehienetan arriskuan dauden barnekoak; batzuetan barne erasotzaileak).

UEBA bezalakoa da ErabakiEta funtzioa, tresna zehatz batean eraikia:

  • Irtenbidea UEBA plataforma "puru"en fabrikatzaileak dira, SIEM soluzioak bereizita saltzen dituzten saltzaileak barne. Erabiltzaileen zein entitateen jokabidearen analitikan negozio-arazo ugaritara bideratua.
  • Txertatua - UEBAren funtzioak eta teknologiak beren soluzioetan integratzen dituzten fabrikatzaileak/dibisioak. Normalean negozio-arazo multzo zehatzago batera bideratua. Kasu honetan, UEBA erabiltzen da erabiltzaile eta/edo entitateen jokabidea aztertzeko.

Gartnerrek hiru ardatzen arabera ikusten du UEBA, arazoen konpontzaileak, analitikoak eta datu-iturriak barne (ikus irudia).

UEBA merkatua hil da - bizi UEBA

UEBA plataforma "puruak" versus UEBA integratua

Gartner-ek UEBA plataforma "purua" hauen irtenbidetzat jotzen du:

  • hainbat arazo zehatz konpontzea, hala nola, erabiltzaile pribilegiatuak kontrolatzea edo erakundetik kanpoko datuak ateratzea, eta ez soilik "erabiltzaileen jarduera anormalaren jarraipena" abstraktua;
  • analitika konplexuen erabilera inplikatu, nahitaez oinarrizko ikuspegi analitikoetan oinarrituta;
  • datu-bilketarako hainbat aukera eskaintzea, datu-iturburu barneko mekanismoak eta erregistroak kudeatzeko tresnetatik, Data lake eta/edo SIEM sistemetatik barne, azpiegituran agente bereiziak hedatzeko derrigorrezko beharrik gabe;
  • soluzio autonomo gisa eros eta zabaldu daiteke, bertan sartu beharrean
    beste produktu batzuen konposizioa.

Beheko taulak bi ikuspegiak alderatzen ditu.

1. taula. UEBA irtenbide "puruak" vs integratuak

kategoria "Pure" UEBA plataformak UEBA barneratuta duten beste irtenbide batzuk
Ebatzi beharreko arazoa Erabiltzaileen portaeraren eta entitateen analisia. Datu faltak mugatu egin dezake UEBA erabiltzaileen edo entitateen portaera aztertzera.
Ebatzi beharreko arazoa Arazo sorta zabala konpontzeko balio du Zeregin multzo mugatu batean espezializatua
Analytics Anomalia detektatzea hainbat metodo analitiko erabiliz, batez ere eredu estatistikoen eta ikaskuntza automatikoaren bidez, arau eta sinadurarekin batera. Erabiltzaileen eta entitateen jarduera haien eta lankideen profilekin sortzeko eta alderatzeko analitika integratuta dago. UEBA hutsaren antzekoa, baina analisia erabiltzaile eta/edo entitateetara soilik mugatu daiteke.
Analytics Analitiko gaitasun aurreratuak, ez arauek soilik mugatuta. Adibidez, entitateen taldekatze dinamikoa duen clustering algoritmoa. UEBA "purua"ren antzekoa, baina txertatutako mehatxu-eredu batzuetan entitateen taldekatzea eskuz soilik alda daiteke.
Analytics Erabiltzaileen eta beste entitate batzuen jarduera eta portaeraren korrelazioa (adibidez, sare bayesiarrak erabiliz) eta banakako arrisku-jokabideen agregazioa jarduera anomaliak identifikatzeko. UEBA hutsaren antzekoa, baina analisia erabiltzaile eta/edo entitateetara soilik mugatu daiteke.
Datu iturriak Datu-iturrietatik erabiltzaile eta entitateei buruzko gertaerak zuzenean jasotzea mekanismo integratuen edo lehendik dauden datu biltegien bidez, hala nola SIEM edo Data lake. Datuak lortzeko mekanismoak zuzenak izan ohi dira eta erabiltzaileei eta/edo beste entitate batzuei bakarrik eragiten diete. Ez erabili erregistroak kudeatzeko tresnak / SIEM / Data Lake.
Datu iturriak Irtenbideak ez luke sareko trafikoan soilik oinarritu behar datu-iturri nagusi gisa, ezta bere agenteetan soilik fidatu behar telemetria biltzeko. Irtenbidea sareko trafikoan soilik zentratu daiteke (adibidez, NTA - sareko trafikoaren azterketa) eta/edo bere agenteak azken gailuetan erabil ditzake (adibidez, langileen jarraipena egiteko utilitateetan).
Datu iturriak Erabiltzaile/entitatearen datuak testuinguruarekin asetzea. Egituratutako gertaeren bilketa onartzen du denbora errealean, baita egituratutako/egituratu gabeko datu kohesionatuak ere IT direktorioetatik - adibidez, Active Directory (AD) edo makinaz irakur daitezkeen beste informazio-baliabide batzuk (adibidez, HR datu-baseak). UEBA hutsaren antzekoa, baina testuinguruko datuen esparrua desberdina izan daiteke kasu batetik bestera. AD eta LDAP kapsulatutako UEBA soluzioek erabiltzen dituzten testuinguruko datu biltegi ohikoenak dira.
erabilgarritasuna Zerrendatutako ezaugarriak produktu autonomo gisa eskaintzen ditu. Ezinezkoa da integratutako UEBA funtzionaltasuna erostea eraikita dagoen kanpoko irtenbide bat erosi gabe.
Iturria: Gartner (2019ko maiatza)

Horrela, zenbait arazo konpontzeko, txertatutako UEBAk oinarrizko UEBA analitika erabil dezake (adibidez, gainbegiratu gabeko ikaskuntza automatiko sinplea), baina, aldi berean, behar diren datu zehatzetara sarbidea izateagatik, orokorrean "purua" baino eraginkorragoa izan daiteke. UEBA irtenbidea. Aldi berean, UEBA plataforma "puruek", espero bezala, analitika konplexuagoak eskaintzen dituzte know-how nagusi gisa, integratutako UEBA tresnarekin alderatuta. Emaitza hauek 2. taulan laburbiltzen dira.

2. taula. UEBA “puru” eta barneratuaren arteko desberdintasunen emaitza

kategoria "Pure" UEBA plataformak UEBA barneratuta duten beste irtenbide batzuk
Analytics Hainbat negozio-arazo ebazteko aplikagarritasunak UEBAren funtzio multzo unibertsalagoa dakar, analitika konplexuagoetan eta ikaskuntza automatikoko ereduetan arreta jarriz. Negozio-arazo multzo txikiago batean zentratzeak logika sinpleagoko aplikazio-eredu espezifikoetan oinarritzen diren ezaugarri oso espezializatuak esan nahi du.
Analytics Eredu analitikoa pertsonalizatzea beharrezkoa da aplikazio-eszenatoki bakoitzerako. Eredu analitikoak aurrez konfiguratuta daude UEBA barnean duen tresnarako. UEBA integratua duen tresnak, oro har, emaitza azkarragoak lortzen ditu negozio-arazo jakin batzuk konpontzeko.
Datu iturriak Azpiegitura korporatiboaren ertz guztietako datu-iturrietarako sarbidea. Datu-iturri gutxiago, normalean haientzako agenteen erabilgarritasunak edo UEBA funtzioak dituen tresnak berak mugatuta.
Datu iturriak Erregistro bakoitzean jasotako informazioa datu-iturburuak mugatuta egon daiteke eta baliteke UEBA tresna zentralizaturako beharrezko datu guztiak ez edukitzea. Agenteak bildutako eta UEBAra igorritako datu gordinaren zenbatekoa eta xehetasuna berariaz konfigura daiteke.
arkitektura Erakunde batentzako UEBA produktu osoa da. Integrazioa errazagoa da SIEM sistema edo Data lake baten gaitasunak erabiliz. UEBA-ren funtzio multzo bereizia behar du UEBA integratuta duten soluzio bakoitzeko. Kapsulatutako UEBA soluzioek agenteak instalatzea eta datuak kudeatzea eskatzen dute askotan.
Integrazioa UEBA irtenbidea kasu bakoitzean beste tresnekin eskuz integratzea. Erakunde bati bere teknologia-pila eraikitzeko aukera ematen dio "analogoen artean onena" ikuspegian oinarrituta. UEBA funtzioen sorta nagusiak tresnan bertan sartzen ditu dagoeneko fabrikatzaileak. UEBA modulua integratuta dago eta ezin da kendu, beraz, bezeroek ezin dute ordezkatu berezko zerbaitekin.
Iturria: Gartner (2019ko maiatza)

UEBA funtzio gisa

UEBA muturreko zibersegurtasun irtenbideen ezaugarri bihurtzen ari da, analitika osagarrien onura izan dezaketenak. UEBAk konponbide horien azpian daude, erabiltzaileen eta/edo entitateen portaera-ereduetan oinarritutako analitika aurreratuen geruza indartsua eskainiz.

Gaur egun merkatuan, integratutako UEBA funtzionaltasuna honako soluzio hauetan ezartzen da, esparru teknologikoen arabera sailkatuta:

  • Datuetan oinarritutako ikuskaritza eta babesa, egituratutako eta egituratu gabeko datuen biltegiratze (DCAP) segurtasuna hobetzera bideratzen diren saltzaileak dira.

    Saltzaileen kategoria honetan, Gartnerrek ohartarazi du, besteak beste, Varonis zibersegurtasun plataforma, erabiltzaileen portaeraren analisiak eskaintzen dituena informazio-biltegi ezberdinetan egituratu gabeko datuen baimenetan, sarbidean eta erabileran aldaketak kontrolatzeko.

  • CASB sistemak, hodeian oinarritutako SaaS aplikazioetan hainbat mehatxuren aurkako babesa eskainiz, nahi ez diren gailu, erabiltzaile eta aplikazioen bertsioetarako hodeiko zerbitzuetarako sarbidea blokeatuz sarbide-kontrol sistema moldakorra erabiliz.

    Merkatuan liderrak diren CASB soluzio guztiek UEBA gaitasunak dituzte.

  • DLP irtenbideak – erakundetik kanpo datu kritikoen transferentzia edo haien gehiegikeria detektatzeko bideratua.

    DLP-ren aurrerapenak edukia ulertzean oinarritzen dira neurri handi batean, eta arreta gutxiago jartzen da testuingurua ulertzeko, hala nola erabiltzailea, aplikazioa, kokapena, denbora, gertaeren abiadura eta kanpoko beste faktore batzuk. Eraginkorra izateko, DLP produktuek edukia eta testuingurua ezagutu behar dituzte. Horregatik, fabrikatzaile asko UEBA funtzionalitateak beren soluzioetan integratzen hasi dira.

  • Langileen jarraipena Langileen ekintzak grabatzeko eta errepikatzeko gaitasuna da, normalean prozesu judizialetarako egokia den datu-formatu batean (beharrezkoa bada).

    Erabiltzaileak etengabe kontrolatzeak eskuz iragaztea eta giza analisia behar dituen datu kopuru izugarria sortzen du askotan. Hori dela eta, UEBA monitorizazio sistemen barruan erabiltzen da soluzio horien errendimendua hobetzeko eta arrisku handiko gorabeherak soilik detektatzeko.

  • Endpoint Security - Amaierako puntuen detekzio eta erantzun (EDR) soluzioek eta amaierako puntuen babeserako plataformek (EPP) tresneria eta sistema eragilearen telemetria indartsua eskaintzen dute.
    amaierako gailuak.

    Erabiltzailearekin erlazionatutako telemetria hori aztertu daiteke UEBA funtzionaltasun integratua eskaintzeko.

  • Sareko iruzurra – Lineako iruzurrak hautemateko soluzioek bezero baten kontua arriskuan jartzen duten jarduera desbideratuak hautematen dituzte, faltsutze baten bidez, malware baten bidez edo seguru gabeko konexioen/arakatzailearen trafikoaren atzematearen bidez.

    Iruzur-soluzio gehienek UEBAren funtsa, transakzioen analisia eta gailuen neurketa erabiltzen dute, eta sistema aurreratuagoek osatzen dituzte nortasun datu-baseko erlazioak bat eginez.

  • IAM eta sarbide-kontrola - Gartnerrek sarbide-kontrol-sistemen saltzaileen artean bilakaera-joera bat nabarmentzen du, saltzaile hutsekin integratzeko eta beren produktuetan UEBA funtzionalitate batzuk eraikitzeko.
  • IAM eta Identity Governance and Administration (IGA) sistemak erabili UEBA jokabidearen eta identitatearen analisiaren agertokiak estaltzeko, hala nola anomalien detekzioa, antzeko entitateen taldekatze dinamikoaren analisia, saioa hasteko azterketa eta sarbide-politiken azterketa.
  • IAM eta Pribilegioen Sarbideen Kudeaketa (PAM) – Administrazio-kontuen erabilera kontrolatzeko eginkizuna dela eta, PAM soluzioek telemetria dute, administrazio-kontuak nola, zergatik, noiz eta non erabiltzen ziren erakusteko. Datu hauek UEBAren funtzionaltasun integratua erabiliz analiza daitezke administratzaileen portaera okerren edo asmo txarreko asmoen presentziagatik.
  • Fabrikatzaileak NTA (Network Traffic Analysis) – Erabili ikaskuntza automatikoa, analisi aurreratua eta arauetan oinarritutako detekzioa konbinatuta, sare korporatiboetako jarduera susmagarriak identifikatzeko.

    NTA tresnek etengabe aztertzen dituzte iturri-trafikoa eta/edo fluxu-erregistroak (adibidez, NetFlow) sarearen portaera normala islatzen duten ereduak eraikitzeko, batez ere entitateen portaeraren analisian zentratuz.

  • siem – SIEM hornitzaile askok datuen analisirako funtzio aurreratuak dituzte SIEM-n edo UEBA modulu bereizi gisa. 2018an zehar eta orain arte 2019an, etengabe lausotu dira SIEM eta UEBA funtzionalitateen arteko mugak, artikuluan eztabaidatzen den moduan. "SIEM modernorako teknologiaren ikuspegia". SIEM sistemak hobetu egin dira analitikekin lan egiten eta aplikazio-eszenatoki konplexuagoak eskaintzen.

UEBA Aplikazio Eszenarioak

UEBAren konponbideek arazo ugari ebatzi ditzakete. Hala ere, Gartner-eko bezeroek onartzen dute erabilera-kasu nagusia hainbat mehatxu-kategoria detektatzea dela, erabiltzaileen portaeraren eta beste entitateen arteko maiz korrelazioak bistaratu eta aztertuz lortuta:

  • datuen baimenik gabeko sarbidea eta mugimendua;
  • Erabiltzaile pribilegiatuen jokabide susmagarriak, langileen jarduera gaiztoak edo baimenik gabekoak;
  • hodeiko baliabideen sarbidea eta erabilera ez-estandarra;
  • eta abar.

Zibersegurtasunaz kanpoko erabilera kasu atipiko batzuk ere badaude, hala nola iruzurra edo langileen jarraipena, eta UEBA justifika daiteke. Dena den, sarritan informazio-iturri eta informazio-segurtasunetik kanpoko datu-iturriak behar dituzte, edo alor hau sakonki ulertzen duten eredu analitiko espezifikoak. UEBAko fabrikatzaileek zein bezeroek adosten dituzten bost eszenatoki eta aplikazio nagusiak jarraian deskribatzen dira.

"Insider maltzurra"

Eszenatoki hau estaltzen duten UEBA irtenbide-hornitzaileek langileak eta konfiantzazko kontratistak bakarrik kontrolatzen dituzte portaera ezohiko, "txar" edo asmo txarrekoa bada. Espezializazio-arlo honetako saltzaileek ez dute zerbitzu-kontuen edo gizakiak ez diren beste entitate batzuen portaera kontrolatzen edo aztertzen. Hori dela eta, neurri handi batean, ez daude mehatxu aurreratuak detektatzera bideratuta, non hackerrek dauden kontuak hartzen dituztenean. Horren ordez, jarduera kaltegarrietan parte hartzen duten langileak identifikatzea dute helburu.

Funtsean, "asmo txarreko insider" kontzeptua enpresaburuari kalteak eragiteko moduak bilatzen dituzten asmo txarreko erabiltzaile fidagarrietatik dator. Asmo gaiztoa neurtzea zaila denez, kategoria honetako saltzaile onenek ikuskaritza-erregistroetan erraz eskuragarri ez dauden testuinguruko portaeraren datuak aztertzen dituzte.

Espazio honetako irtenbide-hornitzaileek ere egiturarik gabeko datuak gehitzen eta aztertzen dituzte modu ezin hobean, hala nola posta elektronikoko edukia, produktibitate-txostenak edo sare sozialetako informazioa, portaerari testuingurua emateko.

Barruko mehatxu konprometituak eta intrusiboak

Erronka jokaera "txarra" azkar detektatu eta aztertzea da, erasotzaileak erakundera sarbidea lortu duenean eta IT azpiegituran mugitzen hasten denean.
Mehatxu asertiboak (APT), ezezagunak edo oraindik guztiz ulertzen ez diren mehatxuak bezalakoak, oso zailak dira hautematea eta askotan ezkutatzen dira erabiltzailearen jarduera edo zerbitzu-kontu legitimoen atzean. Horrelako mehatxuek funtzionamendu-eredu konplexua izan ohi dute (ikus, adibidez, artikulua " Cyber ​​​​Kill Chain-ari zuzenduta") edo haien jokabidea ez da oraindik kaltegarritzat baloratu. Horrek zaildu egiten ditu analitika sinpleak erabiliz detektatzeko (esaterako, ereduen, atalaseen edo korrelazio-arauen araberako parekatzea).

Hala ere, mehatxu intrusibo horietako askok portaera ez-estandarra eragiten dute, askotan ustekabeko erabiltzaileak edo entitateak (konpromisodun barnekoak) parte hartzen dutenak. UEBA teknikek hainbat aukera interesgarri eskaintzen dituzte horrelako mehatxuak detektatzeko, seinale-zarata erlazioa hobetzeko, jakinarazpen bolumena finkatzeko eta murrizteko, gainerako alertak lehenesteko eta gertakarien erantzuna eta ikerketa eraginkorra errazteko.

Arazo-eremu honetara bideratzen diren UEBAko saltzaileek sarritan bi norabideko integrazioa izaten dute erakundearen SIEM sistemekin.

Datuen filtrazioa

Kasu honetan, datuak erakundetik kanpo transferitzen ari direla antzematea da.
Erronka honetan ardaztutako saltzaileek normalean DLP edo DAG gaitasunak aprobetxatzen dituzte anomaliak detektatzeko eta analisi aurreratuekin, eta, horrela, seinale-zarata erlazioa hobetzen dute, jakinarazpen bolumena finkatzen dute eta gainerako abiarazleei lehentasuna ematen diete. Testuinguru gehigarrirako, saltzaileek normalean sareko trafikoan (adibidez, web proxy-ak) eta amaierako datuetan oinarritzen dira, datu-iturri horien azterketak datuak desfiltratzeko ikerketetan lagun dezakeelako.

Datuen infiltrazio detekzioa erakundea mehatxatzen duten barneko eta kanpoko hackerrak harrapatzeko erabiltzen da.

Sarbide pribilegiatuen identifikazioa eta kudeaketa

Espezializazio arlo honetako UEBA soluzio independenteen fabrikatzaileek erabiltzaileen jokabidea behatu eta aztertzen dute dagoeneko eratutako eskubide-sistema baten atzealdean, gehiegizko pribilegioak edo sarbide anomaloak identifikatzeko. Erabiltzaile eta kontu mota guztiei aplikatzen zaie, pribilegiatuei eta zerbitzu kontuei barne. Era berean, erakundeek UEBA erabiltzen dute lotan dauden kontuak eta behar baino handiagoak diren erabiltzaile-pribilegioak kentzeko.

Gorabeheren lehentasuna

Zeregin honen helburua da konponbideek sortutako jakinarazpenak beren teknologia-pilean lehenestea, lehenik eta behin zein intzidente edo gertakari potentzial zuzendu behar diren ulertzeko. UEBAren metodologia eta tresnak baliagarriak dira erakunde jakin baterako bereziki anomaliak edo bereziki arriskutsuak diren gorabeherak identifikatzeko. Kasu honetan, UEBA mekanismoak jardueraren oinarrizko maila eta mehatxu ereduak erabiltzeaz gain, datuak enpresaren antolamendu-egiturari buruzko informazioz asetzen ditu (adibidez, baliabide edo rol kritikoak eta langileen sarbide-mailak).

UEBA irtenbideak ezartzeko arazoak

UEBA soluzioen merkatuko mina prezio altua, ezarpen konplexua, mantentzea eta erabilera da. Enpresek barne atari ezberdinen kopuruarekin borrokan ari diren bitartean, beste kontsola bat lortzen ari dira. Tresna berri batean denboraren eta baliabideen inbertsioaren tamaina esku artean dauden zereginen eta horiek konpontzeko behar diren analisi moten araberakoa da, eta gehienetan inbertsio handiak behar dira.

Fabrikatzaile askok diotenaren aurka, UEBA ez da "ezarri eta ahaztu" tresna bat, gero etengabe exekutatu daitekeena egunez egun.
Gartner-eko bezeroek, esaterako, ohartzen dute 3 eta 6 hilabete arteko epean behar dela UEBA ekimen bat hutsetik martxan jartzeko, konponbide hori ezarri zen arazoak konpontzeko lehen emaitzak lortzeko. Zeregin konplexuagoetarako, hala nola, erakunde batean barneko mehatxuak identifikatzea, epea 18 hilabetera igotzen da.

UEBA ezartzeko zailtasunean eta tresnaren etorkizuneko eraginkortasunean eragiten duten faktoreak:

  • Erakundearen arkitekturaren, sarearen topologiaren eta datuak kudeatzeko politiken konplexutasuna
  • Datu egokiak xehetasun-maila egokian eskuragarri izatea
  • Saltzailearen analisi-algoritmoen konplexutasuna, adibidez, eredu estatistikoak eta ikaskuntza automatikoa erabiltzea eredu eta arau sinpleen aldean.
  • Aurrez konfiguratutako analisi kopurua barne, hau da, fabrikatzaileak zeregin bakoitzerako zer datu bildu behar dituen eta zein aldagai eta atributu diren analisia egiteko garrantzitsuenak ulertzea.
  • Zein erraza den fabrikatzaileak eskatutako datuekin automatikoki integratzea.

    Adibidez:

    • UEBA konponbide batek SIEM sistema bat erabiltzen badu bere datuen iturri nagusi gisa, SIEM-k informazioa biltzen al du beharrezko datu-iturrietatik?
    • Beharrezko gertaeren erregistroak eta antolakuntza-testuinguruko datuak UEBA irtenbide batera bideratu al daitezke?
    • SIEM sistemak oraindik ez baditu UEBA irtenbideak behar dituen datu-iturriak biltzen eta kontrolatzen, nola transferitu daitezke hara?

  • Zein garrantzitsua den aplikazio-eszenatokiak erakundearentzat, zenbat datu-iturri behar dituen eta zenbateraino gainjartzen den zeregin hori fabrikatzailearen aditu-eremuarekin.
  • Antolakuntza-heldutasun eta inplikazio-maila behar den –adibidez, arauak eta ereduak sortzea, garatzea eta hobetzea; ebaluaziorako aldagaiei pisuak esleitzea; edo arriskuen ebaluazioaren atalasea doitzea.
  • Zein eskalagarria den hornitzailearen irtenbidea eta bere arkitektura erakundearen egungo tamainarekin eta etorkizuneko eskakizunekin alderatuta.
  • Oinarrizko ereduak, profilak eta gako-taldeak eraikitzeko garaia. Fabrikatzaileek sarritan 30 egun behar dituzte gutxienez (eta batzuetan 90 egun arte) azterketa egiteko kontzeptu "normalak" definitu aurretik. Datu historikoak behin kargatzeak ereduaren prestakuntza bizkortu dezake. Kasu interesgarri batzuk azkarrago identifika daitezke arauak erabiliz ikaskuntza automatikoa erabiliz hasierako datu kopuru izugarri txiki batekin baino.
  • Talde dinamikoa eta kontuen profila (zerbitzua/pertsona) sortzeko behar den esfortzu-maila asko alda daiteke soluzioen artean.

Iturria: www.habr.com

Gehitu iruzkin berria