Kev siv tau los daws ntau yam teeb meem kev lag luam txhais tau hais tias muaj ntau txoj haujlwm thoob ntiaj teb ntawm UEBA ua haujlwm nrog rau qhov tseem ceeb ntawm kev tshuaj xyuas ntau dua thiab cov qauv kev kawm tshuab.
Kev tsom mus rau cov teeb meem me me ntawm kev lag luam txhais tau hais tias cov yam ntxwv tshwj xeeb uas tsom rau cov qauv tshwj xeeb nrog cov qauv yooj yim.
Analytics
Customization ntawm tus qauv ntsuas yog tsim nyog rau txhua daim ntawv thov scenario.
Cov qauv tshuaj ntsuam xyuas tau teeb tsa ua ntej rau lub cuab yeej uas muaj UEBA ua rau nws. Ib lub cuab yeej nrog built-in UEBA feem ntau ua tiav cov txiaj ntsig sai dua hauv kev daws teeb meem kev lag luam.
Cov ntaub ntawv
Nkag mus rau cov ntaub ntawv los ntawm txhua lub ces kaum ntawm lub tuam txhab kev tsim kho vaj tse.
Cov ntaub ntawv tsawg dua, feem ntau txwv los ntawm qhov muaj cov neeg sawv cev rau lawv lossis cov cuab yeej nws tus kheej nrog UEBA ua haujlwm.
Cov ntaub ntawv
Cov ntaub ntawv muaj nyob rau hauv txhua lub cav yuav raug txwv los ntawm cov ntaub ntawv qhov chaw thiab tej zaum yuav tsis muaj tag nrho cov ntaub ntawv tsim nyog rau lub hauv paus ntawm UEBA cov cuab yeej.
Tus nqi thiab nthuav dav ntawm cov ntaub ntawv nyoos sau los ntawm tus neeg sawv cev thiab xa mus rau UEBA tuaj yeem raug teeb tsa tshwj xeeb.
architecture
Nws yog ib qho khoom ua tiav UEBA rau ib lub koom haum. Kev koom ua ke yooj yim dua siv lub peev xwm ntawm SIEM system lossis Data lake.
Kev sib koom ua ke ntawm UEBA kev daws teeb meem nrog lwm cov cuab yeej hauv txhua kis. Tso cai rau ib lub koom haum los tsim nws cov txheej txheem thev naus laus zis raws li "zoo tshaj plaws ntawm analogues" txoj hauv kev.
Cov pob khoom tseem ceeb ntawm UEBA lub luag haujlwm twb tau suav nrog hauv cov cuab yeej nws tus kheej los ntawm cov chaw tsim khoom. Lub UEBA module yog built-in thiab tsis tuaj yeem raug tshem tawm, yog li cov neeg siv khoom tsis tuaj yeem hloov nws nrog qee yam ntawm lawv tus kheej.
Source: Gartner (Tsib Hlis 2019)
UEBA ua haujlwm
UEBA tau dhau los ua qhov tshwj xeeb ntawm qhov kawg-rau-kawg cybersecurity kev daws teeb meem uas tuaj yeem tau txais txiaj ntsig los ntawm kev tshuaj xyuas ntxiv. UEBA underlies cov kev daws teeb meem no, muab cov txheej txheem muaj zog ntawm kev tshuaj ntsuam xyuas qib siab raws li tus neeg siv thiab / lossis tus qauv coj tus cwj pwm.
Tam sim no nyob rau hauv kev ua lag luam, lub built-in UEBA functionality yog siv nyob rau hauv cov nram qab no kev daws teeb meem, pab pawg neeg los ntawm technologies Scope:
Xws li cov neeg siv hais txog telemetry tuaj yeem txheeb xyuas los muab kev ua haujlwm hauv UEBA.
Kev dag hauv online - Cov kev daws teeb meem kev dag ntxias hauv online tshawb pom cov kev ua txhaum cai uas qhia txog kev cuam tshuam ntawm tus neeg siv khoom tus account los ntawm kev dag, malware, lossis kev siv cov kev sib txuas tsis ruaj ntseg / kev cuam tshuam ntawm browser.
Feem ntau cov kev dag ntxias siv cov ntsiab lus ntawm UEBA, kev txheeb xyuas kev lag luam thiab kev ntsuas cov cuab yeej, nrog rau cov txheej txheem siab dua ntxiv los ntawm kev sib raug zoo hauv cov ntaub ntawv tus kheej.
IAM thiab tswj kev nkag - Gartner sau tseg qhov kev hloov pauv hloov pauv ntawm kev nkag mus rau cov neeg muag khoom tswj kev sib koom ua ke nrog cov neeg muag khoom ntshiab thiab tsim qee qhov kev ua haujlwm UEBA rau hauv lawv cov khoom.
IAM thiab Identity Governance and Administration (IGA) systems siv UEBA los npog cov kev coj cwj pwm thiab kev txheeb xyuas tus kheej xws li kev kuaj pom tsis zoo, kev txheeb xyuas kev sib koom ua ke ntawm cov koom haum zoo sib xws, kev txheeb xyuas kev nkag mus, thiab kev txheeb xyuas txoj cai.
IAM thiab Privileged Access Management (PAM) - Vim yog lub luag haujlwm ntawm kev saib xyuas kev siv cov nyiaj tswj hwm, PAM cov kev daws teeb meem muaj telemetry los qhia tias yuav siv li cas, vim li cas, thaum twg thiab qhov twg cov nyiaj tswj hwm tau siv. Cov ntaub ntawv no tuaj yeem raug txheeb xyuas los ntawm kev siv lub zog ua haujlwm ntawm UEBA rau qhov muaj tus cwj pwm tsis zoo ntawm cov thawj coj lossis kev xav phem.
Chaw tsim tshuaj paus NTA (Network Traffic Analysis) - siv kev sib txuas ntawm kev kawm tshuab, kev tshuaj ntsuam xyuas qib siab thiab kev kuaj xyuas raws li txoj cai los txheeb xyuas cov haujlwm tsis txaus ntseeg ntawm cov tuam txhab koom tes.
NTA cov cuab yeej tsis tu ncua txheeb xyuas qhov chaw khiav tsheb thiab / lossis cov ntaub ntawv ntws (piv txwv li NetFlow) los tsim cov qauv uas muaj kev cuam tshuam txog kev coj tus cwj pwm hauv network, feem ntau tsom rau qhov chaw coj tus cwj pwm analytics.
xim - Ntau tus neeg muag khoom SIEM tam sim no muaj cov ntaub ntawv tshawb fawb ua haujlwm siab ua haujlwm ua rau SIEM, lossis raws li UEBA module cais. Thoob plaws hauv 2018 thiab txog tam sim no hauv 2019, tau muaj qhov tsis sib xws ntawm cov ciam teb ntawm SIEM thiab UEBA kev ua haujlwm, raws li tau tham hauv tsab xov xwm "Technology Insight for the Modern SIEM". SIEM systems tau dhau los ua haujlwm zoo nrog kev txheeb xyuas thiab muab cov ntawv thov nyuaj dua.
UEBA Application Scenarios
UEBA cov kev daws teeb meem tuaj yeem daws tau ntau yam teeb meem. Txawm li cas los xij, cov neeg siv khoom Gartner pom zoo tias qhov kev siv thawj zaug suav nrog kev txheeb xyuas ntau yam kev hem thawj, ua tiav los ntawm kev nthuav tawm thiab tshuaj xyuas kev sib raug zoo ntawm tus neeg siv tus cwj pwm thiab lwm qhov chaw:
tsis tso cai nkag thiab txav ntawm cov ntaub ntawv;
tus cwj pwm tsis txaus ntseeg ntawm cov neeg siv tsim nyog, kev ua phem lossis tsis tau tso cai ntawm cov neeg ua haujlwm;
Kuj tseem muaj ntau qhov xwm txheej uas tsis yog-cybersecurity siv, xws li kev dag ntxias lossis kev saib xyuas cov neeg ua haujlwm, uas UEBA tuaj yeem ua ncaj ncees. Txawm li cas los xij, lawv feem ntau xav tau cov ntaub ntawv tawm sab nraud ntawm IT thiab cov ntaub ntawv kev nyab xeeb, lossis cov qauv tshuaj ntsuam tshwj xeeb nrog kev nkag siab tob ntawm thaj chaw no. Tsib qhov xwm txheej tseem ceeb thiab cov ntawv thov uas ob lub tuam txhab UEBA thiab lawv cov neeg siv khoom pom zoo tau piav qhia hauv qab no.
"Malicious Insider"
UEBA cov chaw muab kev daws teeb meem uas npog qhov xwm txheej no tsuas yog saib xyuas cov neeg ua haujlwm thiab cov neeg cog lus ntseeg siab rau qhov txawv txav, "tsis zoo," lossis tus cwj pwm phem. Cov neeg muag khoom hauv cheeb tsam ntawm kev txawj ntse no tsis saib xyuas lossis txheeb xyuas tus cwj pwm ntawm cov nyiaj pabcuam lossis lwm qhov chaw tsis yog tib neeg. Feem ntau vim qhov no, lawv tsis tsom mus rau kev tshawb nrhiav cov kev hem thawj siab tshaj qhov twg hackers coj mus rau cov nyiaj uas twb muaj lawm. Hloov chaw, lawv yog tsom rau kev txheeb xyuas cov neeg ua haujlwm koom nrog hauv kev ua phem.
Qhov tseem ceeb, lub tswv yim ntawm "tus neeg sab hauv siab phem" yog los ntawm cov neeg siv kev ntseeg siab nrog lub hom phiaj siab phem uas nrhiav txoj hauv kev los ua kev puas tsuaj rau lawv qhov chaw ua haujlwm. Vim tias qhov kev xav tsis zoo yog qhov nyuaj rau kev ntsuas, cov neeg muag khoom zoo tshaj plaws hauv pawg no txheeb xyuas cov ntaub ntawv tus cwj pwm tsis zoo uas tsis yooj yim muaj nyob hauv cov ntawv txheeb xyuas.
Cov chaw muab kev daws teeb meem hauv qhov chaw no kuj zoo siab ntxiv thiab txheeb xyuas cov ntaub ntawv tsis muaj teeb meem, xws li email cov ntsiab lus, cov ntawv tshaj tawm, lossis cov ntaub ntawv xov xwm hauv social media, los muab cov ntsiab lus rau tus cwj pwm.
Kev cuam tshuam sab hauv thiab kev hem thawj
Qhov kev sib tw yog txhawm rau tshawb xyuas sai thiab txheeb xyuas tus cwj pwm "tsis zoo" thaum tus neeg tawm tsam tau nkag mus rau lub koom haum thiab pib txav mus rau hauv IT infrastructure.
Assertive hem (APTs), zoo li tsis paub lossis tseem tsis tau nkag siab txog kev hem thawj, yog qhov nyuaj heev los kuaj xyuas thiab feem ntau zais tom qab cov neeg siv khoom raug cai lossis cov nyiaj pabcuam. Cov kev hem thawj no feem ntau muaj cov qauv kev ua haujlwm nyuaj (saib, piv txwv li, kab lus " Hais txog Cyber Kill Chain") lossis lawv tus cwj pwm tseem tsis tau raug ntsuas tias muaj kev phom sij. Qhov no ua rau lawv nyuaj rau kev txheeb xyuas siv cov kev tshuaj ntsuam xyuas yooj yim (xws li kev sib piv los ntawm cov qauv, qhov pib, lossis cov cai sib txheeb).
Txawm li cas los xij, ntau qhov kev hem thawj no ua rau tus cwj pwm tsis zoo, feem ntau cuam tshuam nrog cov neeg siv tsis txaus ntseeg lossis cov koom haum (aka kev cuam tshuam sab hauv). UEBA cov txheej txheem muaj ntau lub sijhawm txaus siab los txheeb xyuas cov kev hem thawj no, txhim kho cov teeb liab-rau-suab nrov piv, sib sau thiab txo cov ntawv ceeb toom ntim, ua ntej cov lus ceeb toom tseem ceeb, thiab pab txhawb qhov xwm txheej zoo thiab kev tshawb nrhiav.
UEBA cov neeg muag khoom tsom rau thaj chaw teeb meem no feem ntau muaj kev sib koom ua ke nrog lub koom haum SIEM systems.
Cov ntaub ntawv Exfiltration
Lub luag haujlwm hauv qhov no yog txhawm rau txheeb xyuas qhov tseeb tias cov ntaub ntawv raug xa tawm sab nraud lub koom haum.
Cov neeg muag khoom tau tsom mus rau qhov kev sib tw no feem ntau siv lub peev xwm DLP lossis DAG nrog kev kuaj pom tsis zoo thiab kev tshuaj ntsuam xyuas qib siab, yog li txhim kho cov teeb liab-rau-nruab nrab, sib sau cov lus ceeb toom ntim, thiab ua ntej qhov tseem ceeb ntawm qhov tseem ceeb. Rau cov ntsiab lus ntxiv, cov neeg muag khoom feem ntau vam khom ntau ntawm kev sib txuas hauv network (xws li lub vev xaib proxies) thiab cov ntaub ntawv kawg, vim tias kev txheeb xyuas cov ntaub ntawv no tuaj yeem pab tshawb xyuas cov ntaub ntawv tshem tawm.
Cov ntaub ntawv exfiltration nrhiav tau yog siv los ntes cov neeg sab hauv thiab sab nraud hackers hem lub koom haum.
Kev txheeb xyuas thiab kev tswj hwm kev nkag tau muaj cai
Cov neeg tsim khoom ntawm kev ywj pheej UEBA cov kev daws teeb meem hauv cheeb tsam no ntawm kev txawj ntse saib thiab txheeb xyuas cov neeg siv tus cwj pwm tiv thaiv keeb kwm yav dhau los ntawm cov cai uas twb tau tsim los txhawm rau txheeb xyuas cov cai dhau los lossis kev nkag tsis zoo. Qhov no siv tau rau txhua yam ntawm cov neeg siv thiab cov nyiaj, suav nrog cov nyiaj tshwj xeeb thiab cov kev pabcuam. Cov koom haum kuj tseem siv UEBA kom tshem tawm cov nyiaj tsis nyob twj ywm thiab cov cai ntawm cov neeg siv uas siab dua qhov xav tau.
Qhov xwm txheej tseem ceeb
Lub hom phiaj ntawm txoj haujlwm no yog txhawm rau txheeb xyuas qhov tseem ceeb ntawm cov ntawv ceeb toom tsim los ntawm cov kev daws teeb meem hauv lawv cov txheej txheem thev naus laus zis kom nkag siab qhov xwm txheej twg lossis cov xwm txheej yuav tsum tau hais ua ntej. UEBA cov txheej txheem thiab cov cuab yeej muaj txiaj ntsig hauv kev txheeb xyuas qhov xwm txheej uas tsis zoo lossis tshwj xeeb txaus ntshai rau lub koom haum muab. Nyob rau hauv cov ntaub ntawv no, UEBA mechanism tsis tsuas yog siv lub hauv paus theem ntawm kev ua ub no thiab hem qauv, tab sis kuj saturates cov ntaub ntawv nrog cov ntaub ntawv hais txog lub koom haum qauv ntawm lub tuam txhab (piv txwv li, tseem ceeb cov kev pab los yog lub luag hauj lwm thiab nkag mus rau theem ntawm cov neeg ua hauj lwm).
Teeb meem ntawm kev siv UEBA cov kev daws teeb meem
Kev lag luam mob ntawm UEBA cov kev daws teeb meem yog lawv cov nqi siab, kev ua haujlwm nyuaj, kev saib xyuas thiab siv. Thaum cov tuam txhab tawm tsam nrog cov naj npawb ntawm cov portals sib txawv, lawv tau txais lwm lub console. Qhov loj ntawm kev nqis peev ntawm lub sijhawm thiab cov peev txheej hauv cov cuab yeej tshiab yog nyob ntawm cov kev cov nyom ntawm tes thiab cov hom kev ntsuas uas xav tau los daws lawv, thiab feem ntau xav tau kev nqis peev loj.
Tsis zoo li ntau tus neeg tsim khoom thov, UEBA tsis yog "teeb nws thiab tsis nco qab nws" cov cuab yeej uas tuaj yeem ua haujlwm tsis tu ncua rau hnub kawg.
Gartner cov neeg siv khoom, piv txwv li, nco ntsoov tias nws yuav siv sijhawm li 3 txog 6 lub hlis los tsim lub UEBA teg num los ntawm kos kom tau txais thawj cov txiaj ntsig ntawm kev daws cov teeb meem uas qhov kev daws teeb meem no tau ua. Rau ntau txoj haujlwm nyuaj, xws li txheeb xyuas cov kev hem thawj sab hauv hauv ib lub koom haum, lub sijhawm nce mus rau 18 lub hlis.
Tus nqi ntawm pre-configured analytics suav nrog - uas yog, cov chaw tsim tshuaj paus kev nkag siab txog dab tsi cov ntaub ntawv yuav tsum tau muab sau rau txhua txoj hauj lwm thiab dab tsi variables thiab cwj pwm tseem ceeb tshaj plaws los ua qhov kev ntsuam xyuas.
Nws yooj yim npaum li cas rau cov chaw tsim khoom tuaj yeem ua ke nrog cov ntaub ntawv xav tau.
Piv txwv li:
Yog tias UEBA kev daws teeb meem siv SIEM system ua qhov tseem ceeb ntawm nws cov ntaub ntawv, SIEM puas sau cov ntaub ntawv los ntawm cov ntaub ntawv xav tau?
Puas yog cov ntaub ntawv tsim nyog thiab cov ntaub ntawv hauv lub koom haum tuaj yeem raug xa mus rau UEBA kev daws teeb meem?
Yog tias SIEM system tseem tsis tau sau thiab tswj cov ntaub ntawv xav tau los ntawm UEBA kev daws teeb meem, lawv tuaj yeem xa mus rau qhov ntawd li cas?
Qhov tseem ceeb npaum li cas ntawm daim ntawv thov scenario rau lub koom haum, nws xav tau ntau npaum li cas cov ntaub ntawv, thiab ntau npaum li cas txoj hauj lwm no sib tshooj nrog cov chaw tsim tshuaj paus cheeb tsam ntawm kev txawj ntse.
Yuav ua li cas scalable yog tus neeg muag khoom txoj kev daws teeb meem thiab nws cov architecture piv rau qhov loj tam sim no ntawm lub koom haum thiab nws cov kev xav tau yav tom ntej.
Lub sijhawm los tsim cov qauv yooj yim, profiles thiab pawg tseem ceeb. Cov neeg tsim khoom feem ntau xav tau yam tsawg kawg 30 hnub (thiab qee zaum txog 90 hnub) los ua kev tshuaj xyuas ua ntej lawv tuaj yeem txhais cov ntsiab lus "ib txwm". Kev thauj cov ntaub ntawv keeb kwm ib zaug tuaj yeem ua kom ceev cov qauv kev cob qhia. Qee qhov xwm txheej nthuav dav tuaj yeem txheeb xyuas tau sai dua siv cov cai tshaj li kev siv tshuab kev kawm nrog cov ntaub ntawv thawj zaug me me.
Cov theem ntawm kev siv zog tsim nyog los tsim kom muaj kev sib koom ua ke thiab kev siv nyiaj profile (kev pabcuam / tus neeg) tuaj yeem sib txawv ntawm cov kev daws teeb meem.