ProHoster > Blag > nuacht idirlín > Tá margadh UEBA marbh - UEBA fada beo

Tá margadh UEBA marbh - UEBA fada beo

Tá margadh UEBA marbh - UEBA fada beo

Sa lá atá inniu cuirfimid forbhreathnú gairid ar an margadh Anailísí Iompraíochta Úsáideoirí agus Aonáin (UEBA) bunaithe ar an gceann is déanaí Taighde Gartner. Tá margadh UEBA ag bun na “céim díchill” de réir Timthriall Gartner Hype le haghaidh Teicneolaíochtaí atá os comhair Bagairtí, rud a léiríonn aibíocht na teicneolaíochta. Ach is é paradacsa an scéil ná fás ginearálta comhuaineach infheistíochtaí i dteicneolaíochtaí UEBA agus margadh réitigh neamhspleácha UEBA atá ag imeacht. Tá Gartner ag tuar go mbeidh UEBA ina chuid d’fheidhmiúlacht réitigh slándála faisnéise gaolmhara. Is dócha go dtitfidh an téarma "UEBA" as úsáid agus go gcuirfear acrainm eile ina ionad a bheidh dírithe ar réimse feidhmithe níos cúinge (m.sh., "anailísíocht iompraíochta úsáideora"), limistéar feidhmchláir cosúil leis (m.sh., "anailísíocht sonraí"), nó go dtiocfaidh sé chun bheith ina roinnt buzzword nua (mar shampla, tá cuma suimiúil ar an téarma "intleacht shaorga" [AI], cé nach ndéanann sé aon chiall do mhonaróirí nua-aimseartha UEBA).

Is féidir achoimre a dhéanamh ar na príomhthorthaí ó staidéar Gartner mar seo a leanas:

  • Deimhnítear aibíocht an mhargaidh um anailísíocht iompraíochta úsáideoirí agus eintiteas ag an bhfíric go n-úsáideann an deighleog chorparáideach meánach agus mór na teicneolaíochtaí seo chun roinnt fadhbanna gnó a réiteach;
  • tá cumais anailíse UEBA ionsuite i raon leathan de theicneolaíochtaí gaolmhara slándála faisnéise, amhail bróicéirí slándála néalrochtana (CASBanna), rialachas aitheantais agus riarachán (IGA) córais SIEM;
  • Mar gheall ar an hype timpeall ar dhíoltóirí UEBA agus úsáid mhícheart an téarma “intleacht shaorga” bíonn sé deacair do chustaiméirí an fíor-difríocht idir teicneolaíochtaí na monaróirí agus feidhmiúlacht réitigh a thuiscint gan treoirthionscadal a dhéanamh;
  • Tugann custaiméirí faoi deara gur féidir le ham cur chun feidhme agus úsáid laethúil réitigh UEBA a bheith níos déine ar shaothar agus am-íditheach ná mar a gheallann an monaróir, fiú nuair nach ndéantar ach samhlacha bunúsacha braite bagairtí a mheas. D’fhéadfadh sé a bheith an-deacair cásanna úsáide saincheaptha nó ciumhais a chur leis agus beidh saineolas ag teastáil in eolaíocht sonraí agus in anailísíocht.

Réamhaisnéis straitéiseach forbartha margaidh:

  • Faoi 2021, scoirfidh an margadh do chórais anailísíochta iompraíochta úsáideoirí agus eintiteas (UEBA) de bheith ann mar réimse ar leith agus aistreofar i dtreo réitigh eile a bhfuil feidhmiúlacht UEBA acu;
  • Faoi 2020, beidh 95% d’imscaradh UEBA ar fad mar chuid d’ardán slándála níos leithne.

Sainmhíniú ar réitigh UEBA

Úsáideann réitigh UEBA anailísíocht ionsuite chun gníomhaíocht úsáideoirí agus eintiteas eile a mheas (amhail óstaigh, feidhmchláir, trácht líonra agus stórtha sonraí).
Aimsíonn siad bagairtí agus teagmhais ionchasacha, a léiríonn gníomhaíocht aimhrialta go hiondúil i gcomparáid le próifíl agus iompar caighdeánach úsáideoirí agus eintiteas i ngrúpaí comhchosúla thar thréimhse ama.

Is iad na cásanna úsáide is coitianta sa deighleog fiontair ná bagairtí a bhrath agus a fhreagairt, chomh maith le bagairtí ón taobh istigh a bhrath agus freagairt orthu (coigrigh chos istigh den chuid is mó; uaireanta ionsaitheoirí inmheánacha).

Is cosúil le UEBA trí chinneadhAgus feidhm, ionsuite in uirlis ar leith:

  • Is é an réiteach ná monaróirí ardán UEBA “íonachta”, lena n-áirítear díoltóirí a dhíolann réitigh SIEM ar leithligh freisin. Dírithe ar raon leathan fadhbanna gnó in anailísíocht iompraíochta úsáideoirí agus eintiteas araon.
  • Leabaithe – Déantóirí/rannáin a chomhtháthaíonn feidhmeanna agus teicneolaíochtaí UEBA ina réitigh. Dírítear go hiondúil ar shraith níos sainiúla fadhbanna gnó. Sa chás seo, úsáidtear UEBA chun anailís a dhéanamh ar iompar úsáideoirí agus/nó eintiteas.

Féachann Gartner ar UEBA feadh trí ais, lena n-áirítear réititheoirí fadhbanna, anailísíocht, agus foinsí sonraí (féach an figiúr).

Tá margadh UEBA marbh - UEBA fada beo

Ardáin UEBA "íon" i gcomparáid le UEBA ionsuite

Measann Gartner ardán UEBA “íonachta” mar réitigh:

  • roinnt fadhbanna sonracha a réiteach, amhail faireachán a dhéanamh ar úsáideoirí faoi phribhléid nó sonraí a aschur lasmuigh den eagraíocht, agus ní an “monatóireacht ar ghníomhaíocht aimhrialta úsáideoirí” amháin;
  • úsáid a bhaint as anailísíocht chasta, bunaithe go riachtanach ar chur chuige anailíse bunúsacha;
  • roinnt roghanna a sholáthar maidir le bailiú sonraí, lena n-áirítear meicníochtaí foinse sonraí ionsuite agus ó uirlisí bainistíochta loga, loch sonraí agus/nó córais SIEM, gan gá le gníomhairí ar leithligh a imscaradh sa bhonneagar;
  • is féidir iad a cheannach agus a imscaradh mar réitigh neamhspleácha seachas iad a áireamh i
    comhdhéanamh táirgí eile.

Déanann an tábla thíos comparáid idir an dá chur chuige.

Tábla 1. Réitigh “íon” UEBA vs cinn ionsuite

catagóir Ardáin UEBA "íon". Réitigh eile le UEBA ionsuite
Fadhb le réiteach Anailís ar iompar úsáideoirí agus aonáin. D’fhéadfadh easpa sonraí teorainn a chur le UEBA chun anailís a dhéanamh ar iompar úsáideoirí nó eintiteas amháin.
Fadhb le réiteach Feidhmíonn sé chun raon leathan fadhbanna a réiteach Speisialtóireacht i sraith teoranta tascanna
Analytics Brath aimhrialtacht ag baint úsáide as modhanna anailíse éagsúla - go príomha trí mhúnlaí staidrimh agus trí mheaisínfhoghlaim, mar aon le rialacha agus sínithe. Tagann sé le hanailís ionsuite chun gníomhaíocht úsáideora agus aonáin a chruthú agus a chur i gcomparáid lena bpróifílí agus próifílí comhghleacaithe. Cosúil le UEBA íon, ach ní féidir an anailís a theorannú d’úsáideoirí agus/nó d’eintitis amháin.
Analytics Ardchumais anailíse, gan a bheith teoranta ag rialacha amháin. Mar shampla, algartam cnuasaithe le grúpáil dinimiciúil eintiteas. Cosúil le UEBA “íon”, ach ní féidir grúpáil eintiteas i roinnt samhlacha bagairtí leabaithe a athrú ach de láimh.
Analytics Comhghaol idir gníomhaíocht agus iompar úsáideoirí agus eintiteas eile (mar shampla, ag baint úsáide as líonraí Bayesian) agus comhiomlánú iompraíocht riosca aonair chun gníomhaíocht aimhrialta a shainaithint. Cosúil le UEBA íon, ach ní féidir an anailís a theorannú d’úsáideoirí agus/nó d’eintitis amháin.
Foinsí sonraí Imeachtaí ar úsáideoirí agus eintitis a fháil ó fhoinsí sonraí go díreach trí shásraí ionsuite nó stórtha sonraí atá ann cheana, amhail SIEM nó loch Sonraí. Is gnách nach mbíonn meicníochtaí chun sonraí a fháil ach díreach agus ní dhéanann siad difear ach d’úsáideoirí agus/nó eintitis eile. Ná húsáid uirlisí bainistíochta loga / SIEM / loch Sonraí.
Foinsí sonraí Níor cheart go mbeadh an réiteach ag brath ar thrácht líonra amháin mar phríomhfhoinse sonraí, agus níor cheart go mbeadh sé ag brath go hiomlán ar a ghníomhairí féin chun teiliméadracht a bhailiú. Ní féidir leis an réiteach díriú ach ar thrácht líonra (mar shampla, NTA - anailís ar thrácht líonra) agus / nó a ghníomhairí a úsáid ar fheistí deiridh (mar shampla, fóntais monatóireachta fostaithe).
Foinsí sonraí Sáithiú sonraí úsáideora/aonáin le comhthéacs. Tacaíonn sé le bailiú imeachtaí struchtúrtha i bhfíor-am, chomh maith le sonraí comhtháite struchtúrtha/neamhstruchtúrtha ó eolairí TF - mar shampla, Active Directory (AD), nó acmhainní faisnéise eile atá inléite ag meaisín (mar shampla, bunachair shonraí AD). Cosúil le UEBA íon, ach d’fhéadfadh raon feidhme na sonraí comhthéacsúla a bheith éagsúil ó chás go cás. Is iad AD agus LDAP na stórtha sonraí comhthéacsúla is coitianta a úsáideann réitigh leabaithe UEBA.
Infhaighteacht Soláthraíonn sé na gnéithe liostaithe mar tháirge aonair. Tá sé dodhéanta feidhmiúlacht ionsuite UEBA a cheannach gan réiteach seachtrach a cheannach ina bhfuil sé tógtha.
Foinse: Gartner (Bealtaine 2019)

Mar sin, chun fadhbanna áirithe a réiteach, is féidir le UEBA leabaithe anailís bhunúsach UEBA a úsáid (mar shampla, foghlaim mheaisín shimplí gan mhaoirseacht), ach ag an am céanna, mar gheall ar rochtain ar na sonraí riachtanacha go díreach, is féidir leis a bheith níos éifeachtaí ná “íon” ar an iomlán. réiteach UEBA. Ag an am céanna, cuireann ardáin “íona” UEBA, mar a bheifí ag súil leis, anailísíocht níos casta ar fáil mar phríomhfhios gnó i gcomparáid leis an uirlis ionsuite UEBA. Tá achoimre ar na torthaí seo i dTábla 2.

Tábla 2. Toradh na ndifríochtaí idir UEBA “íon” agus ionsuite

catagóir Ardáin UEBA "íon". Réitigh eile le UEBA ionsuite
Analytics Is éard atá i gceist le hinfheidhmeacht chun éagsúlacht fadhbanna gnó a réiteach ná sraith d'fheidhmeanna UEBA níos uilíoch agus béim ar mhúnlaí anailísíochta agus meaisínfhoghlama níos casta. Ciallaíonn díriú ar shraith níos lú fadhbanna gnó gnéithe an-speisialaithe a dhíríonn ar mhúnlaí a bhaineann go sonrach le feidhmchlár le loighic níos simplí.
Analytics Is gá an tsamhail anailíse a shaincheapadh do gach cás iarratais. Tá samhlacha anailíse réamhchumraithe don uirlis a bhfuil UEBA ionsuite inti. Is gnách go n-éiríonn le huirlis le UEBA ionsuite torthaí níos tapúla maidir le fadhbanna áirithe gnó a réiteach.
Foinsí sonraí Rochtain ar fhoinsí sonraí ó gach cearn den bhonneagar corparáideach. Níos lú foinsí sonraí, de ghnáth teoranta ag infhaighteacht gníomhairí dóibh nó ag an uirlis féin a bhfuil feidhmeanna UEBA aici.
Foinsí sonraí Féadfaidh foinse na sonraí an fhaisnéis atá i ngach loga a theorannú agus ní fhéadfaidh na sonraí go léir is gá a bheith ann le haghaidh uirlis láraithe UEBA. Is féidir méid agus mionsonraí na sonraí amh a bhailíonn an gníomhaire agus a tharchuirtear chuig UEBA a chumrú go sonrach.
ailtireacht Is táirge iomlán UEBA é d’eagraíocht. Tá comhtháthú níos éasca ag baint úsáide as cumais chórais SIEM nó loch Sonraí. Teastaíonn sraith ar leith de ghnéithe UEBA do gach ceann de na réitigh a bhfuil UEBA ionsuite acu. Is minic a éilíonn réitigh leabaithe UEBA gníomhairí suiteála agus bainistithe sonraí.
Comhtháthú Comhtháthú láimh réiteach UEBA le huirlisí eile i ngach cás. Ligeann sé d’eagraíocht a stack teicneolaíochta a thógáil bunaithe ar an gcur chuige “is fearr i measc analógach”. Tá príomhbhearta feidhmeanna UEBA san áireamh cheana féin san uirlis féin ag an monaróir. Tá modúl UEBA ionsuite agus ní féidir é a bhaint, mar sin ní féidir le custaiméirí rud éigin dá gcuid féin a chur ina ionad.
Foinse: Gartner (Bealtaine 2019)

UEBA mar fheidhm

Tá UEBA ag éirí mar ghné de réitigh chibearshlándála ceann go ceann ar féidir leo leas a bhaint as anailísíocht bhreise. Tacaíonn UEBA leis na réitigh seo, ag soláthar sraith chumhachtach d’ardanailísíocht bunaithe ar phatrúin iompraíochta úsáideoirí agus/nó aonáin.

Ar an margadh faoi láthair, cuirtear feidhmiúlacht ionsuite UEBA i bhfeidhm sna réitigh seo a leanas, grúpáilte de réir raon feidhme teicneolaíochta:

  • Iniúchadh agus cosaint sonraí-dhírithe, is díoltóirí iad atá dírithe ar shlándáil stórála sonraí struchtúrtha agus neamhstruchtúrtha a fheabhsú (aka DCAP).

    Sa chatagóir seo de dhíoltóirí, tugann Gartner faoi deara, i measc rudaí eile, ardán cybersecurity Varonis, a thairgeann anailísíocht iompraíochta úsáideoirí chun monatóireacht a dhéanamh ar athruithe ar cheadanna neamhstruchtúrtha sonraí, rochtain agus úsáid thar stórtha faisnéise éagsúla.

  • Córais CASB, ag tairiscint cosaint i gcoinne bagairtí éagsúla in iarratais SaaS scamall-bhunaithe trí rochtain ar sheirbhísí scamall a bhlocáil le haghaidh feistí nach dteastaíonn, úsáideoirí agus leaganacha feidhmchláir ag baint úsáide as córas rialaithe rochtana oiriúnaitheach.

    Áirítear le gach réiteach CASB atá chun tosaigh sa mhargadh cumais UEBA.

  • Réitigh DLP – dírithe ar aistriú sonraí ríthábhachtacha lasmuigh den eagraíocht nó ar a mí-úsáid a bhrath.

    Tá dul chun cinn DCA bunaithe go mór ar thuiscint ar ábhar, le fócas níos lú ar thuiscint a fháil ar chomhthéacs mar úsáideoir, feidhmchlár, suíomh, am, treoluas imeachtaí, agus fachtóirí seachtracha eile. Le bheith éifeachtach, ní mór do tháirgí DCA ábhar agus comhthéacs a aithint. Sin é an fáth go bhfuil go leor déantúsóirí ag tosú ar fheidhmiúlacht UEBA a chomhtháthú ina réitigh.

  • Monatóireacht fostaithe an cumas gníomhartha fostaithe a thaifeadadh agus a athsheoladh, de ghnáth i bhformáid sonraí atá oiriúnach d’imeachtaí dlíthiúla (más gá).

    Is minic a ghineann monatóireacht leanúnach ar úsáideoirí méid ollmhór sonraí a éilíonn scagadh láimhe agus anailís dhaonna. Dá bhrí sin, úsáidtear UEBA laistigh de chórais faireacháin chun feidhmíocht na réiteach sin a fheabhsú agus chun teagmhais ardriosca amháin a bhrath.

  • Slándáil críochphointe – Soláthraíonn réitigh braite agus freagartha críochphointe (EDR) agus ardáin chosanta críochphointí (EPP) ionstraimíocht chumhachtach agus teiliméadracht an chórais oibriúcháin do
    feistí deiridh.

    Is féidir anailís a dhéanamh ar an teiliméadracht sin a bhaineann le húsáideoirí chun feidhmiúlacht ionsuite UEBA a sholáthar.

  • Calaois ar líne – Aimsíonn réitigh braite calaoise ar líne gníomhaíocht chlaonta a léiríonn comhréiteach ar chuntas custaiméara trí cheal, malware, nó trí shaothrú naisc neamhurraithe/tascaireacht tráchta brabhsálaithe.

    Baineann an chuid is mó de na réitigh chalaoise úsáid as croílár UEBA, anailís idirbheart agus tomhas gléasanna, agus déanann córais níos airde iad a chomhlánú trí chaidrimh a mheaitseáil sa bhunachar sonraí aitheantais.

  • IAM agus rialú rochtana – Tugann Gartner dá aire treocht éabhlóideach i measc díoltóirí córais rialaithe rochtana chun comhtháthú le díoltóirí íona agus roinnt feidhmiúlacht UEBA a chur isteach ina gcuid táirgí.
  • IAM agus córais Rialaithe agus Riaracháin Aitheantais (IGA). úsáid a bhaint as UEBA chun cásanna anailíse iompraíochta agus céannachta a chumhdach amhail brath aimhrialtachta, anailís ghrúpála dhinimiciúil ar eintitis chomhchosúla, anailís logála isteach, agus anailís ar bheartas rochtana.
  • IAM agus Bainistíocht Rochtana Pribhléid (PAM) – Mar gheall ar an ról atá ag faireachán a dhéanamh ar úsáid na gcuntas riaracháin, tá teiliméadracht ag réitigh PAM chun a thaispeáint conas, cén fáth, cathain agus cén áit ar úsáideadh cuntais riaracháin. Is féidir na sonraí seo a anailísiú trí úsáid a bhaint as feidhmiúlacht ionsuite UEBA chun iompar aimhrialta riarthóirí nó rún mailíseach a bheith ann.
  • Déantóirí NTA (Anailís ar Thrácht Líonra) – meascán d’fhoghlaim meaisín, d’ardanailísíocht agus de bhrath bunaithe ar rialacha a úsáid chun gníomhaíocht amhrasach ar líonraí corparáideacha a shainaithint.

    Déanann uirlisí NTA anailís leanúnach ar thrácht foinse agus/nó taifid sreafa (m.sh. NetFlow) chun samhlacha a thógáil a léiríonn gnáth-iompraíocht líonra, ag díriú go príomha ar anailísíocht iompraíochta aonáin.

  • SIEM – tá ardfheidhmíocht anailísíochta sonraí ionsuite i SIEM anois ag go leor díoltóirí SIEM, nó mar mhodúl UEBA ar leith. Le linn 2018 agus go dtí seo in 2019, tá doiléir leanúnach déanta ar na teorainneacha idir feidhmiúlacht SIEM agus UEBA, mar a pléadh san alt "Léargas Teicneolaíochta don SIEM Nua-Aimseartha". Tá córais SIEM tar éis éirí níos fearr as oibriú le hanailísíocht agus ag tairiscint cásanna feidhmithe níos casta.

Cásanna Feidhmchláir UEBA

Is féidir le réitigh UEBA raon leathan fadhbanna a réiteach. Mar sin féin, aontaíonn cliaint Gartner go mbaineann an cás úsáide príomhúil le catagóirí éagsúla bagairtí a bhrath, a bhaintear amach trí chomhghaolta minice idir iompar úsáideoirí agus eintitis eile a thaispeáint agus a anailísiú:

  • rochtain neamhúdaraithe agus gluaiseacht sonraí;
  • iompar amhrasach úsáideoirí faoi phribhléid, gníomhaíocht mhailíseach nó neamhúdaraithe fostaithe;
  • rochtain neamhchaighdeánach agus úsáid acmhainní néal;
  • etc

Tá roinnt cásanna aitíopúla úsáide neamh-chibearshlándála ann freisin, amhail calaois nó faireachán ar fhostaithe, a bhféadfadh údar a bheith ag UEBA leo. Mar sin féin, is minic a éilíonn siad foinsí sonraí lasmuigh de TF agus slándáil faisnéise, nó samhlacha anailíse sonracha a bhfuil tuiscint dhomhain acu ar an réimse seo. Déantar cur síos thíos ar na cúig phríomhchásanna agus feidhmchlár a n-aontaíonn monaróirí UEBA agus a gcustaiméirí araon orthu.

"Cos istigh mailíseach"

Ní dhéanann soláthraithe réitigh UEBA a chlúdaíonn an cás seo ach monatóireacht ar fhostaithe agus ar chonraitheoirí iontaofa maidir le hiompar neamhghnách, “olc,” nó mailíseach. Ní dhéanann díoltóirí sa réimse saineolais seo faireachán ná anailís ar iompar na gcuntas seirbhíse nó na n-eintiteas neamhdhaonna eile. Den chuid is mó mar gheall air seo, níl siad dírithe ar ardbhagairtí a bhrath nuair a ghlacann hackers cuntais reatha. Ina áit sin, tá siad dírithe ar fhostaithe a bhfuil baint acu le gníomhaíochtaí díobhálacha a aithint.

Go bunúsach, is ó úsáideoirí iontaofa a bhfuil rún mailíseach acu a lorgaíonn bealaí chun damáiste a dhéanamh dá bhfostóir a eascraíonn an coincheap “cos istigh mailíseach”. Toisc go bhfuil sé deacair rún mailíseach a thomhas, déanann na díoltóirí is fearr sa chatagóir seo anailís ar shonraí iompair comhthéacsúla nach bhfuil ar fáil go héasca i logaí iniúchta.

Déanann soláthraithe réitigh sa spás seo sonraí neamhstruchtúrtha a shuimiú agus a anailísiú go barrmhaith, mar ábhar ríomhphoist, tuarascálacha táirgiúlachta, nó faisnéis ar na meáin shóisialta, chun comhthéacs iompair a sholáthar.

Cur isteach ar bhagairtí cos istigh agus ionsáite

Is é an dúshlán atá ann ná “droch-iompraíocht” a bhrath agus a anailísiú go tapa nuair a bheidh rochtain faighte ag an ionsaitheoir ar an eagraíocht agus ag tosú ag bogadh laistigh den bhonneagar TF.
Tá sé thar a bheith deacair bagairtí treallúsacha (APTanna), amhail bagairtí anaithnide nó bagairtí nach dtuigtear go hiomlán fós, a bhrath agus is minic a bhíonn siad i bhfolach taobh thiar de ghníomhaíochtaí dlisteanacha úsáideoirí nó cuntais seirbhíse. Is gnách go mbíonn múnla oibríochta casta ag bagairtí dá leithéid (féach, mar shampla, an t-alt “ Aghaidh a thabhairt ar an Cyber ​​​​Kill Slabhra”) nó nach bhfuil measúnú déanta fós ar a n-iompraíocht mar dhochrach. Déanann sé seo deacair iad a bhrath trí úsáid a bhaint as anailísíocht shimplí (amhail meaitseáil le patrúin, tairseacha, nó rialacha comhghaoil).

Mar sin féin, bíonn iompar neamhchaighdeánach mar thoradh ar go leor de na bagairtí ionsáite seo, a bhaineann go minic le húsáideoirí nó eintitis gan amhras (ar nós daoine cos istigh). Cuireann teicnící UEBA roinnt deiseanna suimiúla ar fáil chun bagairtí den sórt sin a bhrath, chun cóimheas comhartha-go-torann a fheabhsú, an méid fógraí a chomhdhlúthú agus a laghdú, tosaíocht a thabhairt do na foláirimh atá fágtha, agus éascaíonn siad freagairt agus imscrúdú éifeachtach ar theagmhais.

Is minic go mbíonn comhtháthú déthreo ag díoltóirí UEBA a dhíríonn ar an bhfadhb seo le córais SIEM na heagraíochta.

Dí-scagadh sonraí

Is é an tasc sa chás seo ná a bhrath go bhfuil sonraí á n-aistriú lasmuigh den eagraíocht.
Dhírigh díoltóirí ar an dúshlán seo go hiondúil cumais DLP nó DAG a ghiaráil le braite aimhrialtacht agus ard-anailísíocht, rud a chuireann feabhas ar an gcóimheas comhartha-go-torann, ag comhdhlúthú toirt an fhógra, agus ag tabhairt tosaíochta do na truicear atá fágtha. Ar mhaithe le comhthéacs breise, de ghnáth bíonn díoltóirí ag brath níos mó ar thrácht líonra (cosúil le seachvótálaithe gréasáin) agus sonraí críochphointí, toisc gur féidir le hanailís ar na foinsí sonraí seo cabhrú le himscrúduithe ar dhí-scagadh sonraí.

Baintear úsáid as braite eas-scagtha sonraí chun daoine istigh agus hackers seachtracha atá ag bagairt ar an eagraíocht a ghabháil.

Rochtain phribhléideach a shainaithint agus a bhainistiú

Déanann monaróirí réitigh neamhspleácha UEBA sa réimse saineolais seo iompraíocht úsáideoirí a bhreathnú agus a anailísiú i gcoinne chúlra córais cearta atá déanta cheana féin chun pribhléidí iomarcacha nó rochtain aimhrialta a shainaithint. Baineann sé seo le gach cineál úsáideoir agus cuntas, lena n-áirítear cuntais phribhléid agus seirbhíse. Úsáideann eagraíochtaí UEBA freisin chun fáil réidh le cuntais dhíomhaoine agus pribhléidí úsáideora atá níos airde ná mar is gá.

Tosaíocht do Theagmhais

Is é sprioc an taisc seo tosaíocht a thabhairt d’fhógraí arna nginiúint ag réitigh ina gcruach teicneolaíochta chun tuiscint a fháil ar na teagmhais nó na teagmhais fhéideartha ar cheart aghaidh a thabhairt orthu ar dtús. Tá modheolaíochtaí agus uirlisí UEBA úsáideach chun teagmhais a shainaithint atá thar a bheith aimhrialta nó thar a bheith contúirteach d’eagraíocht ar leith. Sa chás seo, ní hamháin go n-úsáideann meicníocht UEBA an bonnleibhéal gníomhaíochta agus samhlacha bagairtí, ach freisin sáithíonn sé na sonraí le faisnéis faoi struchtúr eagraíochtúil na cuideachta (mar shampla, acmhainní nó róil ríthábhachtacha agus leibhéil rochtana fostaithe).

Fadhbanna a bhaineann le réitigh UEBA a chur i bhfeidhm

Is é pian margaidh réitigh UEBA ná a n-ardphraghas, cur i bhfeidhm casta, cothabháil agus úsáid. Cé go bhfuil cuideachtaí ag streachailt leis an líon tairseacha inmheánacha éagsúla, tá consól eile á fháil acu. Braitheann méid na hinfheistíochta ama agus acmhainní in uirlis nua ar na tascanna ar láimh agus ar na cineálacha anailísíochta is gá chun iad a réiteach, agus is minic a éilíonn infheistíochtaí móra.

Murab ionann agus an méid a mhaíonn go leor déantúsóirí, ní uirlis “socraigh é agus déan dearmad air” é UEBA ar féidir a rith go leanúnach ar feadh laethanta ar deireadh.
Tugann cliaint Gartner, mar shampla, faoi deara go dtógann sé ó 3 go 6 mhí tionscnamh UEBA a sheoladh ón tús chun na chéad torthaí a fháil ó réiteach na bhfadhbanna ar cuireadh an réiteach seo i bhfeidhm ina leith. I gcás tascanna níos casta, amhail bagairtí ón taobh istigh a aithint in eagraíocht, méadaítear an tréimhse go 18 mí.

Tosca a imríonn tionchar ar an deacracht a bhaineann le UEBA a chur chun feidhme agus ar éifeachtacht na huirlise sa todhchaí:

  • Castacht ailtireacht eagraíochta, topology líonra agus polasaithe bainistíochta sonraí
  • Infhaighteacht na sonraí cearta ag an leibhéal ceart mionsonraí
  • Castacht halgartaim anailíse an díoltóra - mar shampla, úsáid samhlacha staitistiúla agus foghlaim meaisín i gcoinne patrúin agus rialacha simplí.
  • Méid na hanailísíochta réamh-chumraithe atá san áireamh—is é sin, tuiscint an mhonaróra ar na sonraí is gá a bhailiú le haghaidh gach tasc agus cad iad na hathróga agus na tréithe is tábhachtaí chun an anailís a dhéanamh.
  • Cé chomh héasca is atá sé don mhonaróir comhtháthú uathoibríoch leis na sonraí riachtanacha.

    Mar shampla:

    • Má úsáideann réiteach UEBA córas SIEM mar phríomhfhoinse a shonraí, an bailíonn an SIEM faisnéis ó na foinsí sonraí riachtanacha?
    • An féidir na logaí teagmhais agus na sonraí comhthéacs eagraíochtúla riachtanacha a chur chuig réiteach UEBA?
    • Mura ndéanann córas SIEM na foinsí sonraí a theastaíonn ó réiteach UEBA a bhailiú agus a rialú go fóill, conas is féidir iad a aistriú ansin?

  • Cé chomh tábhachtach agus atá an cás iarratais don eagraíocht, cé mhéad foinsí sonraí a theastaíonn uaidh, agus cé mhéad a fhorluíonn an tasc seo le réimse saineolais an mhonaróra.
  • Cén leibhéal aibíochta agus rannpháirtíochta eagraíochtúil a theastaíonn – mar shampla, rialacha agus samhlacha a chruthú, a fhorbairt agus a mhionchoigeartú; meáchain a shannadh d'athróga le haghaidh meastóireachta; nó an tairseach measúnaithe riosca a choigeartú.
  • Cé chomh inscálaithe atá réiteach an díoltóra agus a ailtireacht i gcomparáid le méid reatha na heagraíochta agus a riachtanais sa todhchaí.
  • Tá sé in am samhlacha bunúsacha, próifílí agus príomhghrúpaí a thógáil. Is minic go mbíonn 30 lá ar a laghad ag teastáil ó mhonaróirí (agus uaireanta suas le 90 lá) chun anailís a dhéanamh sular féidir leo “gnáthchoincheapa” a shainiú. Má lódáiltear sonraí stairiúla uair amháin is féidir oiliúint mhúnla a bhrostú. Is féidir cuid de na cásanna suimiúla a aithint níos tapúla trí úsáid a bhaint as rialacha ná foghlaim meaisín a úsáid le méid thar a bheith beag de shonraí tosaigh.
  • Is féidir an leibhéal iarrachta a theastaíonn chun grúpáil dhinimiciúil agus próifíliú cuntais a thógáil (seirbhís/duine) a athrú go mór idir réitigh.

Foinse: will.com

Add a comment