ProHoster > Blog > ynternet nijs > De UEBA-merk is dea - lang libje UEBA

De UEBA-merk is dea - lang libje UEBA

De UEBA-merk is dea - lang libje UEBA

Hjoed sille wy in koart oersjoch leverje fan 'e merk foar brûkers- en entiteitgedrachsanalyse (UEBA) basearre op' e lêste Gartner ûndersyk. De UEBA-merk is oan 'e ûnderkant fan' e "desyllúzjesfaze" neffens Gartner Hype Cycle foar Threat-Facing Technologies, wat de folwoeksenheid fan 'e technology oanjout. Mar de paradoks fan 'e situaasje leit yn' e simultane algemiene groei fan ynvestearrings yn UEBA-technologyen en de ferdwinende merk fan unôfhinklike UEBA-oplossingen. Gartner foarseit dat UEBA diel wurde sil fan 'e funksjonaliteit fan besibbe oplossings foar ynformaasjefeiligens. De term "UEBA" sil wierskynlik út gebrûk falle en wurde ferfongen troch in oar akronym dat rjochte is op in smeller tapassingsgebiet (bgl. nij buzzword (bygelyks, de term "keunstmjittige yntelliginsje" [AI] sjocht der nijsgjirrich út, hoewol it gjin sin hat foar moderne UEBA-fabrikanten).

De wichtichste befinings fan 'e Gartner-stúdzje kinne as folget wurde gearfette:

  • De folwoeksenheid fan 'e merk foar gedrachsanalyse fan brûkers en entiteiten wurdt befêstige troch it feit dat dizze technologyen wurde brûkt troch it medium en grutte bedriuwssegment om in oantal saaklike problemen op te lossen;
  • UEBA analytics mooglikheden binne boud yn in breed skala oan relatearre ynformaasje feiligens technologyen, lykas wolk tagong feiligens makelders (CASBs), identiteit bestjoer en administraasje (IGA) SIEM systemen;
  • De hype om UEBA-ferkeapers en it ferkearde gebrûk fan 'e term "keunstmjittige yntelliginsje" makket it dreech foar klanten om it echte ferskil tusken technologyen fan fabrikanten en de funksjonaliteit fan oplossingen te begripen sûnder in pilotprojekt te fieren;
  • Klanten merken op dat de ymplemintaasjetiid en it deistich gebrûk fan UEBA-oplossingen mear arbeidsintensyf en tiidslinend kinne wêze dan de fabrikant belooft, sels as se allinich basismodellen foar bedrigingsdeteksje beskôgje. It tafoegjen fan oanpaste of edge-gebrûkgefallen kin ekstreem lestich wêze en ekspertize fereaskje yn gegevenswittenskip en analytyk.

Strategyske merkûntwikkelingsprognose:

  • Tsjin 2021 sil de merk foar brûkers- en entiteitsgedrachsanalysesystemen (UEBA) ophâlde te bestean as in apart gebiet en sil ferskowe nei oare oplossingen mei UEBA-funksjonaliteit;
  • Tsjin 2020 sil 95% fan alle UEBA-ynset diel útmeitsje fan in breder befeiligingsplatfoarm.

Definysje fan UEBA oplossings

UEBA-oplossingen brûke ynboude analytiken om de aktiviteit fan brûkers en oare entiteiten te evaluearjen (lykas hosts, applikaasjes, netwurkferkear en gegevenswinkels).
Se detectearje bedrigingen en potinsjele ynsidinten, typysk fertsjintwurdigje anomale aktiviteit yn ferliking mei it standertprofyl en gedrach fan brûkers en entiteiten yn ferlykbere groepen oer in perioade fan tiid.

De meast foarkommende gebrûksgefallen yn it bedriuwsegmint binne bedrigingsdeteksje en -antwurd, lykas deteksje en antwurd op bedrigingen fan ynsiders (meast kompromittearre ynsiders; soms ynterne oanfallers).

UEBA is like beslúten funksje, ynboud yn in spesifyk ark:

  • De oplossing is fabrikanten fan "suvere" UEBA-platfoarms, ynklusyf leveransiers dy't ek SIEM-oplossingen apart ferkeapje. Rjochte op in breed oanbod fan saaklike problemen yn gedrachsanalyse fan sawol brûkers as entiteiten.
  • Ynbêde - Fabrikanten / divyzjes ​​dy't UEBA-funksjes en technologyen yntegrearje yn har oplossingen. Typysk rjochte op in mear spesifike set fan saaklike problemen. Yn dit gefal wurdt UEBA brûkt om it gedrach fan brûkers en/of entiteiten te analysearjen.

Gartner sjocht UEBA lâns trije assen, ynklusyf probleemoplossers, analytiken en gegevensboarnen (sjoch figuer).

De UEBA-merk is dea - lang libje UEBA

"Pure" UEBA platfoarms fersus ynboude UEBA

Gartner beskôget in "suver" UEBA-platfoarm as oplossingen dy't:

  • ferskate spesifike problemen oplosse, lykas it kontrolearjen fan befoarrjochte brûkers of it útfieren fan gegevens bûten de organisaasje, en net allinich de abstrakte "monitoring fan abnormale brûkersaktiviteit";
  • belûke it brûken fan komplekse analytics, needsaaklikerwize basearre op basis analytyske oanpak;
  • foarsjen ferskate opsjes foar it sammeljen fan gegevens, ynklusyf sawol ynboude gegevens boarne meganismen en út log behear ark, Data lake en / of SIEM systemen, sûnder de ferplichte needsaak om te ynsetten aparte aginten yn de ynfrastruktuer;
  • kinne wurde kocht en ynset as stand-alone oplossings ynstee fan opnommen yn
    komposysje fan oare produkten.

De tabel hjirûnder fergeliket de twa oanpakken.

tabel 1. "Pure" UEBA oplossings vs ynboude

kategory "Pure" UEBA platfoarms Oare oplossings mei ynboude UEBA
Probleem op te lossen Analyse fan brûkersgedrach en entiteiten. Gebrek oan gegevens kin UEBA beheine om it gedrach fan allinich brûkers of entiteiten te analysearjen.
Probleem op te lossen Tsjinnet om in breed skala oan problemen op te lossen Spesjalisearre yn in beheinde set fan taken
Analytics Anomaly-deteksje mei ferskate analytyske metoaden - benammen troch statistyske modellen en masine learen, tegearre mei regels en hantekeningen. Komt mei ynboude analytics om brûkers- en entiteitaktiviteiten te meitsjen en te fergelykjen mei har profilen en kollega's. Fergelykber mei pure UEBA, mar analyse kin allinich wurde beheind ta brûkers en / of entiteiten.
Analytics Avansearre analytyske mooglikheden, net allinich beheind troch regels. Bygelyks, in klusteralgoritme mei dynamyske groepearring fan entiteiten. Fergelykber mei "suvere" UEBA, mar entiteitsgroepearring yn guon ynbêde bedrigingsmodellen kin allinich mei de hân wizige wurde.
Analytics Korrelaasje fan aktiviteit en gedrach fan brûkers en oare entiteiten (bygelyks gebrûk fan Bayesianske netwurken) en aggregaasje fan yndividuele risikogedrach om abnormale aktiviteit te identifisearjen. Fergelykber mei pure UEBA, mar analyse kin allinich wurde beheind ta brûkers en / of entiteiten.
Gegevensboarnen It ûntfangen fan eveneminten op brûkers en entiteiten fan gegevensboarnen direkt fia ynboude meganismen as besteande gegevenswinkels, lykas SIEM of Data lake. Mechanismen foar it krijen fan gegevens binne normaal allinich direkt en beynfloedzje allinich brûkers en / of oare entiteiten. Brûk gjin ark foar logbehear / SIEM / Data lake.
Gegevensboarnen De oplossing moat net allinich fertrouwe op netwurkferkear as de haadboarne fan gegevens, en moat ek net allinich op har eigen aginten fertrouwe om telemetry te sammeljen. De oplossing kin allinnich rjochtsje op netwurk ferkear (Bygelyks, NTA - netwurk ferkear analyze) en / of brûk syn aginten op ein apparaten (Bygelyks, wurknimmer monitoring nutsfoarsjennings).
Gegevensboarnen Saturating brûker / entiteit gegevens mei kontekst. Unterstützt de kolleksje fan strukturearre eveneminten yn echte tiid, lykas strukturearre / net-strukturearre gearhingjende gegevens út IT-mappen - bygelyks Active Directory (AD), of oare masine-lêsbere ynformaasjeboarnen (bygelyks HR-databases). Fergelykber mei pure UEBA, mar de omfang fan kontekstuele gegevens kin ferskille fan gefal ta gefal. AD en LDAP binne de meast foarkommende kontekstuele gegevenswinkels brûkt troch ynbêde UEBA-oplossingen.
Fergees Biedt de neamde funksjes as in standalone produkt. It is ûnmooglik om ynboude UEBA-funksjonaliteit te keapjen sûnder in eksterne oplossing te keapjen wêryn it is boud.
Boarne: Gartner (mei 2019)

Sa, om bepaalde problemen op te lossen, kin ynbêde UEBA basale UEBA-analytika brûke (bygelyks ienfâldich net-tafersjoch masine learen), mar tagelyk, troch tagong ta krekt de nedige gegevens, kin it algemien effektiver wêze as in "suver" UEBA oplossing. Tagelyk biede "suvere" UEBA-platfoarms, lykas ferwachte, kompleksere analytiken as de wichtichste know-how yn ferliking mei it ynboude UEBA-ark. Dizze resultaten wurde gearfette yn Tabel 2.

Tabel 2. It resultaat fan de ferskillen tusken "suver" en ynboude UEBA

kategory "Pure" UEBA platfoarms Oare oplossings mei ynboude UEBA
Analytics Tapasberens foar it oplossen fan in ferskaat oan saaklike problemen ymplisearret in mear universele set fan UEBA-funksjes mei in klam op mear komplekse analyse- en masine-learmodellen. Fokus op in lytsere set fan saaklike problemen betsjut tige spesjalisearre funksjes dy't rjochtsje op applikaasje-spesifike modellen mei ienfâldiger logika.
Analytics Oanpassing fan it analytysk model is nedich foar elk tapassingsscenario. Analytyske modellen binne foarôf konfigureare foar it ark dat UEBA ynboud hat. In ark mei ynboude UEBA berikt oer it algemien flugger resultaten by it oplossen fan bepaalde saaklike problemen.
Gegevensboarnen Tagong ta gegevensboarnen út alle hoeken fan 'e bedriuwsynfrastruktuer. Minder gegevens boarnen, meastal beheind troch de beskikberens fan aginten foar harren of it ark sels mei UEBA funksjes.
Gegevensboarnen De ynformaasje befette yn elk log kin wurde beheind troch de gegevens boarne en meie net befetsje alle nedige gegevens foar de sintralisearre UEBA ark. It bedrach en detail fan de rauwe gegevens sammele troch de agint en oerdroegen oan UEBA kin spesifyk konfigurearre.
arsjitektuer It is in folslein UEBA-produkt foar in organisaasje. Yntegraasje is makliker mei help fan de mooglikheden fan in SIEM systeem of Data lake. Fereasket in aparte set fan UEBA funksjes foar elk fan de oplossings dy't hawwe ynboude UEBA. Ynbêde UEBA-oplossingen fereaskje faak ynstallaasje fan aginten en it behearen fan gegevens.
Yntegraasje Hânlieding yntegraasje fan de UEBA oplossing mei oare ark yn elk gefal. Lit in organisaasje har technologystapel bouwe op basis fan 'e "bêste ûnder analogen" oanpak. De wichtichste bondels fan UEBA-funksjes binne al opnommen yn it ark sels troch de fabrikant. De UEBA-module is ynboud en kin net fuortsmiten wurde, sadat klanten it net kinne ferfange mei wat fan har eigen.
Boarne: Gartner (mei 2019)

UEBA as funksje

UEBA wurdt in funksje fan end-to-end cybersecurity-oplossingen dy't profitearje kinne fan ekstra analytiken. UEBA leit oan dizze oplossingen, en leveret in krêftige laach fan avansearre analyse basearre op gedrachspatroanen fan brûkers en / of entiteiten.

Op it stuit op 'e merke wurdt de ynboude UEBA-funksjonaliteit ymplementearre yn' e folgjende oplossingen, groepeare troch technologysk berik:

  • Gegevensrjochte kontrôle en beskerming, binne leveransiers dy't rjochte binne op it ferbetterjen fan de feiligens fan strukturearre en net-strukturearre gegevens opslach (aka DCAP).

    Yn dizze kategory fan ferkeapers merkt Gartner ûnder oare op, Varonis cybersecurity platfoarm, dy't analytyk fan brûkersgedrach biedt om feroaringen te kontrolearjen yn unstrukturearre gegevensfergunningen, tagong en gebrûk oer ferskate ynformaasjewinkels.

  • CASB systemen, biede beskerming tsjin ferskate bedrigingen yn wolk-basearre SaaS-applikaasjes troch blokkearjen fan tagong ta wolktsjinsten foar net-winske apparaten, brûkers en applikaasjeferzjes mei in adaptyf tagongskontrôlesysteem.

    Alle merkliedende CASB-oplossingen omfetsje UEBA-mooglikheden.

  • DLP oplossings - rjochte op it opspoaren fan de oerdracht fan krityske gegevens bûten de organisaasje as misbrûk dêrfan.

    DLP-foarútgongen binne foar in grut part basearre op it begripen fan ynhâld, mei minder fokus op it begripen fan kontekst lykas brûker, applikaasje, lokaasje, tiid, snelheid fan eveneminten en oare eksterne faktoaren. Om effektyf te wêzen, moatte DLP-produkten sawol ynhâld as kontekst werkenne. Dit is de reden dat in protte fabrikanten begjinne UEBA-funksjonaliteit te yntegrearjen yn har oplossingen.

  • Meiwurkers tafersjoch is de mooglikheid om aksjes fan wurknimmers op te nimmen en opnij te spyljen, meastentiids yn in gegevensformaat geskikt foar juridyske prosedueres (as nedich).

    Konstant kontrolearjen fan brûkers genereart faaks in oerweldigjende hoemannichte gegevens dy't manuele filtering en minsklike analyse fereasket. Dêrom wurdt UEBA brûkt binnen tafersjochsystemen om de prestaasjes fan dizze oplossingen te ferbetterjen en allinich ynsidinten mei hege risiko te detektearjen.

  • Einpunt Feiligens - Einpuntdeteksje en antwurd (EDR) oplossingen en platfoarms foar einpuntbeskerming (EPP) leverje krêftige ynstrumintaasje en telemetry fan bestjoeringssysteem foar
    ein apparaten.

    Sokke brûker-relatearre telemetry kin analysearre wurde om ynboude UEBA-funksjonaliteit te leverjen.

  • Online fraude - Online oplossings foar fraudedeteksje detektearje ôfwikende aktiviteit dy't oanjout op kompromis fan it akkount fan in klant troch in spoof, malware, of eksploitaasje fan ûnbefeilige ferbiningen / ûnderskepping fan browserferkear.

    De measte fraude-oplossings brûke de essinsje fan UEBA, transaksje-analyze en apparaatmjitting, mei mear avansearre systemen dy't har oanfolje troch oerienkommende relaasjes yn 'e identiteitsdatabase.

  • IAM en tagong kontrôle - Gartner merkt op in evolúsjonêre trend ûnder ferkeapers fan tagongskontrôlesysteem om te yntegrearjen mei suvere leveransiers en wat UEBA-funksjonaliteit yn har produkten op te bouwen.
  • IAM en Identity Governance and Administration (IGA) systemen brûke UEBA om senario's foar gedrachs- en identiteitsanalyze te dekken, lykas deteksje fan anomaly, dynamyske groepearringsanalyse fan ferlykbere entiteiten, oanmeldanalyse, en analyse fan tagongsbelied.
  • IAM en Privileged Access Management (PAM) - Troch de rol fan it kontrolearjen fan it gebrûk fan bestjoerlike akkounts, hawwe PAM-oplossingen telemetry om sjen te litten hoe, wêrom, wannear en wêr't bestjoerlike akkounts waarden brûkt. Dizze gegevens kinne wurde analysearre mei de ynboude funksjonaliteit fan UEBA foar de oanwêzigens fan abnormale gedrach fan behearders of kweade bedoelingen.
  • Fabrikanten NTA (Netwurkferkearanalyse) - brûk in kombinaasje fan masine learen, avansearre analytyk en op regels basearre deteksje om fertochte aktiviteit op bedriuwsnetwurken te identifisearjen.

    NTA-ark analysearje kontinu boarneferkear- en / of streamrecords (bgl. NetFlow) om modellen te bouwen dy't normaal netwurkgedrach reflektearje, yn it foarste plak rjochte op entiteitsgedrachsanalytyk.

  • siem - in protte SIEM-leveransiers hawwe no avansearre funksjonaliteit foar gegevensanalytyk ynboud yn SIEM, of as in aparte UEBA-module. Yn 2018 en oant no ta yn 2019 is d'r in trochgeande fervaging west fan 'e grinzen tusken SIEM- en UEBA-funksjonaliteit, lykas besprutsen yn it artikel "Technologysk ynsjoch foar de moderne SIEM". SIEM-systemen binne better wurden yn it wurkjen mei analytiken en it oanbieden fan kompleksere applikaasjescenario's.

UEBA Application Senario

UEBA-oplossingen kinne in breed oanbod fan problemen oplosse. Gartner-kliïnten binne it lykwols iens dat de primêre gebrûksgefal omfettet it opspoaren fan ferskate kategoryen fan bedrigingen, berikt troch it werjaan en analysearjen fan faak korrelaasjes tusken brûkersgedrach en oare entiteiten:

  • sûnder foech tagong en beweging fan gegevens;
  • fertocht gedrach fan befoarrjochte brûkers, kweade of net autorisearre aktiviteit fan meiwurkers;
  • net-standert tagong en gebrûk fan wolkboarnen;
  • en oaren.

D'r binne ek in oantal atypyske net-cybersecurity-gebrûksgefallen, lykas fraude of meiwurkersmonitoring, wêrfoar UEBA kin wurde rjochtfeardige. Se fereaskje lykwols faak gegevensboarnen bûten IT en ynformaasjefeiligens, as spesifike analytyske modellen mei in djip begryp fan dit gebiet. De fiif haadsenario's en tapassingen dêr't sawol UEBA-fabrikanten as har klanten oer iens binne, wurde hjirûnder beskreaun.

"Kwaadwillige Insider"

Oanbieders fan UEBA-oplossingen dy't dit senario dekke, kontrolearje allinich meiwurkers en fertroude oannimmers foar ûngewoane, "minne" of kweade gedrach. Ferkeapers yn dit gebiet fan saakkundigens kontrolearje of analysearje it gedrach fan tsjinstakkounts of oare net-minsklike entiteiten net. Foar in grut part hjirtroch binne se net rjochte op it opspoaren fan avansearre bedrigingen wêr't hackers besteande akkounts oernimme. Ynstee dêrfan binne se rjochte op it identifisearjen fan meiwurkers dy't belutsen binne by skealike aktiviteiten.

Yn essinsje komt it konsept fan in "kwaadwillige ynsider" út fertroude brûkers mei kweade bedoelingen dy't manieren sykje om skea oan har wurkjouwer te feroarsaakjen. Om't kweade yntinsjes lestich te mjitten is, analysearje de bêste leveransiers yn dizze kategory kontekstuele gedrachsgegevens dy't net maklik beskikber binne yn kontrôlelogs.

Oplossingsproviders yn dizze romte foegje en analysearje ek optimaal unstrukturearre gegevens, lykas e-postynhâld, produktiviteitsrapporten, of sosjale media-ynformaasje, om kontekst te jaan foar gedrach.

Kompromittearre ynsider en opdringerige bedrigingen

De útdaging is om "min" gedrach fluch te ûntdekken en te analysearjen as de oanfaller tagong hat ta de organisaasje en begjint te bewegen binnen de IT-ynfrastruktuer.
Assertive bedrigingen (APT's), lykas ûnbekende of noch net folslein begrepen bedrigingen, binne ekstreem lestich te ûntdekken en ferbergje faak efter legitime brûkersaktiviteit of tsjinstakkounts. Sokke bedrigingen hawwe meastentiids in kompleks bestjoeringsmodel (sjoch bygelyks it artikel " De Cyber ​​​​Kill Chain oanpakke") of har gedrach is noch net beoardiele as skealik. Dit makket se lestich te ûntdekken mei help fan ienfâldige analytiken (lykas matching troch patroanen, drompels of korrelaasjeregels).

In protte fan dizze opdringerige bedrigingen resultearje lykwols yn net-standert gedrach, faaks wêrby't netfermoedende brûkers of entiteiten (aka kompromitteare ynsiders) belutsen binne. UEBA-techniken biede ferskate nijsgjirrige kânsen om sokke bedrigingen te ûntdekken, sinjaal-to-lûd-ferhâlding te ferbetterjen, notifikaasjefolume te konsolidearjen en te ferminderjen, foarrang te jaan oan oerbleaune warskôgings, en effektive ynsidintreaksje en ûndersyk te fasilitearjen.

UEBA-leveransiers dy't rjochtsje op dit probleemgebiet hawwe faak bidirectionele yntegraasje mei de SIEM-systemen fan 'e organisaasje.

Data exfiltration

De taak yn dit gefal is om it feit te detektearjen dat gegevens bûten de organisaasje wurde oerdroegen.
Ferkeapers rjochte op dizze útdaging brûke typysk DLP- as DAG-mooglikheden mei anomaly-deteksje en avansearre analytiken, en ferbetterje dêrmei sinjaal-to-lûd-ferhâlding, konsolidearje notifikaasjevolumint en prioritearje oerbleaune triggers. Foar ekstra kontekst fertrouwe leveransiers typysk mear swier op netwurkferkear (lykas webproxies) en einpuntgegevens, om't analyse fan dizze gegevensboarnen kin helpe by ûndersiken nei gegevenseksfiltraasje.

Deteksje fan gegevenseksfiltraasje wurdt brûkt om ynsiders en eksterne hackers te fangen dy't de organisaasje driigje.

Identifikaasje en behear fan befoarrjochte tagong

Produsinten fan unôfhinklike UEBA-oplossingen op dit gebiet fan saakkundigens observearje en analysearje brûkersgedrach tsjin 'e eftergrûn fan in al foarme systeem fan rjochten om oermjittige privileezjes as abnormale tagong te identifisearjen. Dit jildt foar alle soarten brûkers en akkounts, ynklusyf befoarrjochte en tsjinstkontos. Organisaasjes brûke ek UEBA om sliepende akkounts en brûkersprivileges kwyt te reitsjen dy't heger binne dan fereaske.

Ynsidint prioritization

It doel fan dizze taak is om foarrang te jaan oan notifikaasjes generearre troch oplossingen yn har technologystack om te begripen hokker ynsidinten of potensjele ynsidinten earst moatte wurde oanpakt. UEBA-metodologyen en -ark binne nuttich by it identifisearjen fan ynsidinten dy't benammen abnormale of benammen gefaarlik binne foar in opjûne organisaasje. Yn dit gefal brûkt it UEBA-meganisme net allinich it basisnivo fan aktiviteits- en bedrigingsmodellen, mar saturearret de gegevens ek mei ynformaasje oer de organisatoaryske struktuer fan it bedriuw (bygelyks krityske boarnen of rollen en tagongsnivo's fan meiwurkers).

Problemen mei it útfieren fan UEBA-oplossingen

De merkpine fan UEBA-oplossingen is har hege priis, komplekse ymplemintaasje, ûnderhâld en gebrûk. Wylst bedriuwen wrakselje mei it oantal ferskillende ynterne portalen, krije se in oare konsole. De grutte fan 'e ynvestearring fan tiid en middels yn in nij ark hinget ôf fan' e taken by de hân en de soarten analytiken dy't nedich binne om se op te lossen, en fereaskje meastentiids grutte ynvestearrings.

Yn tsjinstelling ta wat in protte fabrikanten beweare, is UEBA gjin "set it en ferjit it" ark dat dan kontinu kin rinne foar dagen op ein.
Gartner-kliïnten merken bygelyks op dat it fan 3 oant 6 moannen duorret om in UEBA-inisjatyf fanôf it begjin te starten om de earste resultaten te krijen fan it oplossen fan de problemen wêrfoar dizze oplossing waard útfierd. Foar mear komplekse taken, lykas it identifisearjen fan bedrigingen fan ynsiders yn in organisaasje, nimt de perioade ta 18 moannen.

Faktoaren dy't de swierrichheid fan it útfieren fan UEBA beynfloedzje en de takomstige effektiviteit fan it ark:

  • Kompleksiteit fan organisaasje-arsjitektuer, netwurktopology en gegevensbehearbelied
  • Beskikberens fan de juste gegevens op it juste nivo fan detail
  • De kompleksiteit fan 'e analytyske algoritmen fan 'e ferkeaper - bygelyks it brûken fan statistyske modellen en masine learen tsjin ienfâldige patroanen en regels.
  • De hoemannichte foarôf ynstelde analytiken opnommen - dat is it begryp fan 'e fabrikant fan hokker gegevens moatte wurde sammele foar elke taak en hokker fariabelen en attributen it wichtichste binne om de analyse út te fieren.
  • Hoe maklik is it foar de fabrikant om automatysk te yntegrearjen mei de fereaske gegevens.

    Bygelyks:

    • As in UEBA-oplossing in SIEM-systeem brûkt as de haadboarne fan har gegevens, sammelt de SIEM dan ynformaasje fan 'e fereaske gegevensboarnen?
    • Kinne de nedige barrenslogboeken en organisatoaryske kontekstgegevens wurde trochstjoerd nei in UEBA-oplossing?
    • As it SIEM-systeem de gegevensboarnen dy't nedich binne troch de UEBA-oplossing noch net sammelet en kontroleart, hoe kinne se dan oerdroegen wurde?

  • Hoe wichtich is it tapassingsscenario foar de organisaasje, hoefolle gegevensboarnen hat it nedich, en hoefolle oerlaapet dizze taak mei it ekspertizegebiet fan 'e fabrikant.
  • Hokker graad fan organisatoaryske folwoeksenheid en belutsenens is fereaske - bygelyks it meitsjen, ûntwikkeljen en ferfine fan regels en modellen; tawizen fan gewichten oan fariabelen foar evaluaasje; of it oanpassen fan de risiko-beoardielingsdrompel.
  • Hoe skaalber is de oplossing fan 'e ferkeaper en syn arsjitektuer yn ferliking mei de hjoeddeistige grutte fan' e organisaasje en syn takomstige easken.
  • Tiid om basismodellen, profilen en kaaigroepen te bouwen. Fabrikanten hawwe faaks op syn minst 30 dagen (en soms oant 90 dagen) nedich om analyse te fieren foardat se "normale" begripen kinne definiearje. It laden fan histoaryske gegevens ienris kin modeltraining fersnelle. Guon fan 'e nijsgjirrige gefallen kinne rapper wurde identifisearre mei regels dan mei it brûken fan masine learen mei in ongelooflijk lytse hoemannichte earste gegevens.
  • It nivo fan ynspannings nedich foar it bouwen fan dynamyske groepearring en akkount profilearring (tsjinst / persoan) kin sterk ferskille tusken oplossingen.

Boarne: www.habr.com

Add a comment