ProHoster > Blog > internetes hírek > Az UEBA piaca halott – éljen az UEBA

Az UEBA piaca halott – éljen az UEBA

Az UEBA piaca halott – éljen az UEBA

Ma rövid áttekintést adunk a felhasználói és entitási viselkedéselemzés (UEBA) piacáról a legújabb adatok alapján. Gartner kutatás. A Gartner Hype Cycle for Threat-Facing Technologies szerint az UEBA piac a „kiábrándultság szakaszának” alján van, ami a technológia érettségét jelzi. A helyzet paradoxona azonban az UEBA-technológiákba történő befektetések általános növekedésében és a független UEBA-megoldások piacának megszűnésében rejlik. A Gartner előrejelzése szerint az UEBA a kapcsolódó információbiztonsági megoldások funkcionalitásának részévé válik. Az "UEBA" kifejezés valószínűleg kikerül a használatból, és egy másik mozaikszó váltja fel, amely egy szűkebb alkalmazási területre (például "felhasználói viselkedés elemzése"), egy hasonló alkalmazási területre (pl. "adatelemzés") összpontosít, vagy egyszerűen csak néhány szó lesz belőle. új divatszó (például a "mesterséges intelligencia" [AI] kifejezés érdekesnek tűnik, bár a modern UEBA-gyártók számára nincs értelme).

A Gartner-tanulmány legfontosabb megállapításai a következőkben foglalhatók össze:

  • A felhasználók és entitások viselkedéselemzésére vonatkozó piac érettségét igazolja, hogy ezeket a technológiákat a közép- és nagyvállalati szegmens számos üzleti probléma megoldására használja;
  • Az UEBA elemzési képességei a kapcsolódó információbiztonsági technológiák széles skálájába épülnek be, mint például a felhőalapú hozzáférést biztosító biztonságos brókerek (CASB), az identitáskezelési és adminisztrációs (IGA) SIEM-rendszerek;
  • Az UEBA-szállítók körüli felhajtás és a „mesterséges intelligencia” kifejezés helytelen használata megnehezíti az ügyfelek számára, hogy megértsék a valódi különbséget a gyártók technológiái és a megoldások funkcionalitása között kísérleti projekt nélkül;
  • Az ügyfelek megjegyzik, hogy az UEBA-megoldások bevezetési ideje és napi használata munka- és időigényesebb lehet, mint amit a gyártó ígér, még akkor is, ha csak az alapvető fenyegetésészlelési modelleket vesszük figyelembe. Egyedi vagy éles használati esetek hozzáadása rendkívül nehéz lehet, és adattudományi és elemzési szakértelmet igényel.

Stratégiai piacfejlesztési előrejelzés:

  • 2021-re a felhasználói és entitási viselkedéselemző rendszerek (UEBA) piaca megszűnik külön területként létezni, és más, UEBA-funkciókkal rendelkező megoldások felé tolódik el;
  • 2020-ra az összes UEBA-telepítés 95%-a egy szélesebb biztonsági platform része lesz.

Az UEBA-megoldások meghatározása

Az UEBA-megoldások beépített elemzést használnak a felhasználók és más entitások (például gazdagépek, alkalmazások, hálózati forgalom és adattárak) tevékenységének értékelésére.
Fenyegetéseket és potenciális incidenseket észlelnek, amelyek jellemzően rendellenes tevékenységet jelentenek a hasonló csoportokban lévő felhasználók és entitások szokásos profiljához és viselkedéséhez képest egy bizonyos időszakon keresztül.

A vállalati szegmensben a leggyakoribb felhasználási esetek a fenyegetések észlelése és reagálása, valamint a bennfentes fenyegetések (leginkább feltört bennfentesek; néha belső támadók) észlelése és reagálása.

Az UEBA olyan döntésÉs funkció, egy adott eszközbe építve:

  • A megoldást a „tiszta” UEBA platformok gyártói jelentik, köztük a SIEM-megoldásokat külön-külön is értékesítő szállítók. A felhasználók és entitások viselkedéselemzésének üzleti problémáinak széles körére összpontosít.
  • Beágyazott – Gyártók/részlegek, amelyek integrálják az UEBA-funkciókat és -technológiákat megoldásaikba. Jellemzően az üzleti problémák specifikusabb csoportjára összpontosít. Ebben az esetben az UEBA-t használják a felhasználók és/vagy entitások viselkedésének elemzésére.

A Gartner három tengely mentén tekinti az UEBA-t, beleértve a problémamegoldókat, az elemzéseket és az adatforrásokat (lásd az ábrát).

Az UEBA piaca halott – éljen az UEBA

„Tiszta” UEBA platformok a beépített UEBA-val szemben

A Gartner a „tiszta” UEBA platformot olyan megoldásnak tekinti, amely:

  • számos konkrét probléma megoldása, mint például a privilegizált felhasználók figyelése vagy a szervezeten kívüli adatok kiadása, és nem csak az absztrakt „rendellenes felhasználói tevékenység figyelése”;
  • komplex elemzések alkalmazását foglalja magában, amelyek szükségszerűen alapvető analitikai megközelítéseken alapulnak;
  • több lehetőséget biztosítanak az adatgyűjtésre, beleértve a beépített adatforrás-mechanizmusokat és a naplókezelési eszközöket, a Data lake és/vagy a SIEM rendszereket anélkül, hogy kötelező lenne külön ügynököket telepíteni az infrastruktúrába;
  • önálló megoldásként vásárolható meg és telepíthető, nem pedig beépíthető
    egyéb termékek összetétele.

Az alábbi táblázat összehasonlítja a két megközelítést.

1. táblázat: „Tiszta” UEBA-megoldások kontra beépített megoldások

Kategória "Tiszta" UEBA platformok Egyéb megoldások beépített UEBA-val
Megoldandó probléma A felhasználói viselkedés és entitások elemzése. Az adatok hiánya korlátozhatja az UEBA-t abban, hogy csak felhasználók vagy entitások viselkedését elemezze.
Megoldandó probléma Sokféle probléma megoldására szolgál Korlátozott feladatsorra specializálódott
Analitika Anomáliák felderítése különféle analitikai módszerekkel - főként statisztikai modellekkel és gépi tanulással, szabályokkal és aláírásokkal együtt. Beépített analitikával rendelkezik, amely lehetővé teszi a felhasználók és entitások tevékenységének létrehozását és összehasonlítását saját és kollégáik profiljával. Hasonló a tiszta UEBA-hoz, de az elemzés csak a felhasználókra és/vagy entitásokra korlátozható.
Analitika Fejlett analitikai képességek, amelyeket nem korlátoznak csak szabályok. Például egy klaszterező algoritmus az entitások dinamikus csoportosításával. Hasonló a „tiszta” UEBA-hoz, de egyes beágyazott fenyegetési modellekben az entitások csoportosítása csak manuálisan módosítható.
Analitika A felhasználók és más entitások tevékenységének és viselkedésének korrelációja (például Bayes-hálózatok használatával), valamint az egyéni kockázati magatartás összesítése a rendellenes tevékenység azonosítása érdekében. Hasonló a tiszta UEBA-hoz, de az elemzés csak a felhasználókra és/vagy entitásokra korlátozható.
Adatforrások A felhasználókra és entitásokra vonatkozó események fogadása adatforrásokból közvetlenül beépített mechanizmusokon vagy meglévő adattárolókon keresztül, mint például a SIEM vagy a Data lake. Az adatszerzési mechanizmusok általában csak közvetlenek, és csak a felhasználókat és/vagy más entitásokat érintik. Ne használjon naplókezelő eszközöket / SIEM / Data lake.
Adatforrások A megoldásnak nem csak a hálózati forgalomra, mint fő adatforrásra kell támaszkodnia, és nem szabad kizárólag a saját ügynökeire támaszkodnia a telemetria gyűjtése során. A megoldás csak a hálózati forgalomra összpontosíthat (például NTA - hálózati forgalom elemzése) és/vagy használhatja ügynökeit a végeszközökön (például alkalmazotti megfigyelő segédprogramok).
Adatforrások A felhasználói/entitások adatainak kontextussal való telítése. Támogatja a strukturált események valós idejű gyűjtését, valamint a strukturált/strukturálatlan összefüggő adatok IT-címtárakból – például Active Directoryból (AD) vagy más géppel olvasható információforrásból (például HR-adatbázisokból). Hasonló a tiszta UEBA-hoz, de a kontextuális adatok köre esetenként eltérő lehet. Az AD és az LDAP a beágyazott UEBA-megoldások által használt leggyakoribb kontextuális adattárolók.
elérhetőség A felsorolt ​​funkciókat önálló termékként biztosítja. Lehetetlen megvásárolni a beépített UEBA funkcionalitást külső megoldás vásárlása nélkül, amelybe beépítették.
Forrás: Gartner (2019. május)

Így bizonyos problémák megoldására a beágyazott UEBA használhat alapvető UEBA-analitikát (például egyszerű, felügyelet nélküli gépi tanulást), ugyanakkor a pontosan a szükséges adatokhoz való hozzáférés miatt összességében hatékonyabb lehet, mint egy „tiszta” UEBA megoldás. Ugyanakkor a „tiszta” UEBA platformok, ahogy az várható volt, a beépített UEBA-eszközhöz képest összetettebb elemzést kínálnak fő know-how-ként. Ezeket az eredményeket a 2. táblázat foglalja össze.

2. táblázat. A „tiszta” és a beépített UEBA közötti különbségek eredménye

Kategória "Tiszta" UEBA platformok Egyéb megoldások beépített UEBA-val
Analitika A különféle üzleti problémák megoldására való alkalmazhatóság az UEBA-funkciók univerzálisabb készletét jelenti, a hangsúlyt a bonyolultabb elemzési és gépi tanulási modellekre helyezve. Az üzleti problémák kisebb halmazára való összpontosítás rendkívül speciális szolgáltatásokat jelent, amelyek az egyszerűbb logikával rendelkező alkalmazás-specifikus modellekre összpontosítanak.
Analitika Az analitikai modell testreszabása minden alkalmazási forgatókönyvhöz szükséges. Az analitikai modellek előre konfigurálva vannak ahhoz az eszközhöz, amelybe az UEBA be van építve. A beépített UEBA-val rendelkező eszköz általában gyorsabb eredményeket ér el bizonyos üzleti problémák megoldásában.
Adatforrások Hozzáférés az adatforrásokhoz a vállalati infrastruktúra minden sarkából. Kevesebb adatforrás, amelyet általában korlátoz a hozzájuk tartozó ügynökök vagy maga az eszköz UEBA-funkciókkal.
Adatforrások Az egyes naplókban található információkat az adatforrás korlátozhatja, és előfordulhat, hogy nem tartalmazzák a központi UEBA-eszközhöz szükséges összes adatot. Az ügynök által gyűjtött és az UEBA-nak továbbított nyers adatok mennyisége és részletessége kifejezetten konfigurálható.
építészet Ez egy komplett UEBA termék egy szervezet számára. Az integráció egyszerűbb a SIEM rendszer vagy a Data Lake képességeinek használatával. Minden egyes beépített UEBA-val rendelkező megoldáshoz külön UEBA-szolgáltatáskészlet szükséges. A beágyazott UEBA-megoldások gyakran igényelnek ügynökök telepítését és adatok kezelését.
integráció Az UEBA megoldás manuális integrációja minden esetben más eszközökkel. Lehetővé teszi a szervezet számára, hogy a „legjobb az analógok között” megközelítés alapján építse fel technológiai készletét. Az UEBA-funkciók főbb csomagjait a gyártó már magában az eszközben is tartalmazza. Az UEBA modul beépített, nem távolítható el, így az ügyfelek nem cserélhetik ki saját magukkal.
Forrás: Gartner (2019. május)

UEBA mint funkció

Az UEBA a végpontok közötti kiberbiztonsági megoldások egyik jellemzőjévé válik, amely további elemzések előnyeit élvezheti. Az UEBA alapozza meg ezeket a megoldásokat, és a fejlett elemzések hatékony rétegét biztosítja a felhasználók és/vagy entitások viselkedési mintái alapján.

Jelenleg a piacon a beépített UEBA funkcionalitás az alábbi megoldásokban valósul meg, technológiai körök szerint csoportosítva:

  • Adatközpontú audit és védelem, olyan szállítók, amelyek a strukturált és strukturálatlan adattárolás (más néven DCAP) biztonságának javítására összpontosítanak.

    Ebben az eladókategóriában a Gartner többek között megjegyzi, Varonis kiberbiztonsági platform, amely felhasználói viselkedéselemzést kínál a strukturálatlan adatengedélyek, -hozzáférés és -használat változásainak nyomon követésére a különböző információs tárolókban.

  • CASB rendszerek, amely védelmet nyújt a felhő alapú SaaS-alkalmazások különféle fenyegetései ellen azáltal, hogy egy adaptív hozzáférés-vezérlő rendszer segítségével blokkolja a felhőalapú szolgáltatásokhoz való hozzáférést a nem kívánt eszközök, felhasználók és alkalmazásverziók számára.

    Minden piacvezető CASB-megoldás tartalmaz UEBA-képességeket.

  • DLP megoldások – a kritikus adatok szervezeten kívüli átvitelének vagy az azzal való visszaélésnek a felderítésére összpontosított.

    A DLP fejlesztései nagyrészt a tartalom megértésén alapulnak, és kevésbé összpontosítanak a kontextus, például a felhasználó, az alkalmazás, a hely, az idő, az események sebessége és más külső tényezők megértésére. A hatékonyság érdekében a DLP-termékeknek fel kell ismerniük mind a tartalmat, mind a kontextust. Sok gyártó ezért kezdi integrálni az UEBA funkcióit megoldásaiba.

  • Munkavállalói megfigyelés a munkavállalói cselekvések rögzítésének és visszajátszásának képessége, általában jogi eljárásra alkalmas adatformátumban (ha szükséges).

    A felhasználók folyamatos figyelése gyakran hatalmas mennyiségű adatot generál, amely kézi szűrést és emberi elemzést igényel. Ezért az UEBA-t megfigyelőrendszereken belül használják e megoldások teljesítményének javítására, és csak a magas kockázatú események észlelésére.

  • Endpoint Security – A végpontészlelési és válaszadási (EDR) megoldások és a végpontvédelmi platformok (EPP) hatékony műszereket és operációs rendszer-telemetriát biztosítanak
    végberendezések.

    Az ilyen felhasználókkal kapcsolatos telemetria elemezhető a beépített UEBA-funkciók biztosítása érdekében.

  • Online csalás – Az online csalásészlelési megoldások észlelik a deviáns tevékenységeket, amelyek az ügyfél fiókjának hamisítás, rosszindulatú programok vagy a nem biztonságos kapcsolatok kihasználása/böngészőforgalom elfogása révén történő feltörését jelzik.

    A legtöbb csalási megoldás az UEBA lényegét, a tranzakcióelemzést és az eszközmérést használja, a fejlettebb rendszerek pedig kiegészítik ezeket az identitás-adatbázisban található kapcsolatok párosításával.

  • IAM és hozzáférés-vezérlés – A Gartner megjegyzi, hogy a beléptetőrendszer-gyártók evolúciós trendje a tisztán szállítókkal való integráció és bizonyos UEBA-funkciók beépítése a termékeikbe.
  • IAM és Identity Governance and Administration (IGA) rendszerek használja az UEBA-t viselkedés- és identitáselemzési forgatókönyvek lefedésére, például anomáliák észlelésére, hasonló entitások dinamikus csoportosításának elemzésére, bejelentkezési elemzésre és hozzáférési szabályzat elemzésére.
  • IAM és Privileged Access Management (PAM) – Az adminisztratív fiókok használatának felügyelete miatt a PAM-megoldások telemetriával mutatják meg, hogyan, miért, mikor és hol használták az adminisztratív fiókokat. Ezek az adatok az UEBA beépített funkcióival elemezhetők a rendszergazdák rendellenes viselkedésének vagy rosszindulatú szándékának jelenlétére.
  • Gyártói NTA (Network Traffic Analysis) – a gépi tanulás, a fejlett elemzés és a szabályalapú észlelés kombinációját használja a gyanús tevékenységek azonosítására a vállalati hálózatokon.

    Az NTA-eszközök folyamatosan elemzik a forrásforgalmi és/vagy áramlási rekordokat (pl. NetFlow), hogy olyan modelleket készítsenek, amelyek tükrözik a normál hálózati viselkedést, elsősorban az entitás viselkedésének elemzésére összpontosítva.

  • siem – Sok SIEM-szállító már rendelkezik fejlett adatelemzési funkciókkal a SIEM-be, vagy külön UEBA-modulként. 2018-ban és 2019-ben is folyamatosan összemosódtak a határok a SIEM és az UEBA funkcionalitása között, amint azt a cikk is tárgyalja. „Technology Insight for the Modern SIEM”. A SIEM-rendszerek jobban tudnak dolgozni az analitikával, és összetettebb alkalmazási forgatókönyveket kínálnak.

UEBA alkalmazási forgatókönyvek

Az UEBA megoldásai sokféle probléma megoldására képesek. A Gartner ügyfelei azonban egyetértenek abban, hogy az elsődleges használati eset a fenyegetések különféle kategóriáinak észlelését foglalja magában, amelyet a felhasználói viselkedés és más entitások közötti gyakori összefüggések megjelenítésével és elemzésével érnek el:

  • az adatokhoz való jogosulatlan hozzáférés és -mozgatás;
  • privilegizált felhasználók gyanús viselkedése, az alkalmazottak rosszindulatú vagy jogosulatlan tevékenysége;
  • nem szabványos felhő-erőforrások elérése és használata;
  • stb

Számos olyan atipikus, nem kiberbiztonsági felhasználási eset is előfordul, mint például a csalás vagy az alkalmazottak megfigyelése, amelyek esetében indokolt lehet az UEBA. Azonban gyakran szükségük van az informatikai és információbiztonságon kívüli adatforrásokra, vagy speciális elemzési modellekre, amelyek mélyen ismerik ezt a területet. Az alábbiakban ismertetjük az öt fő forgatókönyvet és alkalmazást, amelyekben az UEBA gyártói és ügyfeleik egyaránt egyetértenek.

"Rosszindulatú bennfentes"

Az UEBA-megoldásszolgáltatók, amelyek ezt a forgatókönyvet lefedik, csak az alkalmazottakat és a megbízható vállalkozókat figyelik szokatlan, „rossz” vagy rosszindulatú viselkedés miatt. Az ezen a szakterületen dolgozó szállítók nem figyelik és nem elemzik a szolgáltatásfiókok vagy más nem emberi entitások viselkedését. Nagyrészt emiatt nem a fejlett fenyegetések észlelésére összpontosítanak, amikor a hackerek átveszik a meglévő fiókokat. Ehelyett a káros tevékenységekben részt vevő munkavállalók azonosítását célozzák.

A „rosszindulatú bennfentes” fogalma lényegében olyan megbízható felhasználókból ered, akik rosszindulatúak, és keresik a módját, hogy kárt okozzanak munkáltatójuknak. Mivel a rosszindulatú szándékot nehéz mérni, a kategória legjobb szállítói olyan kontextusbeli viselkedési adatokat elemeznek, amelyek nem könnyen hozzáférhetők a naplókban.

A megoldásszolgáltatók ezen a területen is optimálisan hozzáadnak és elemzik strukturálatlan adatokat, például e-mail-tartalmat, termelékenységi jelentéseket vagy közösségimédia-információkat, hogy kontextust biztosítsanak a viselkedéshez.

Kompromittált bennfentes és tolakodó fenyegetések

A kihívás a „rossz” viselkedés gyors észlelése és elemzése, miután a támadó hozzáfért a szervezethez, és elkezd mozogni az IT infrastruktúrán belül.
Az asszertív fenyegetéseket (APT), mint az ismeretlen vagy még nem teljesen megértett fenyegetéseket, rendkívül nehéz észlelni, és gyakran törvényes felhasználói tevékenységek vagy szolgáltatásfiókok mögé bújnak. Az ilyen fenyegetések általában összetett működési modellel rendelkeznek (lásd például a „ A Cyber ​​​​Kill Chain megszólítása"), vagy viselkedésüket még nem értékelték károsnak. Ez megnehezíti azok észlelését egyszerű elemzésekkel (például minták, küszöbértékek vagy korrelációs szabályok alapján).

Azonban sok ilyen behatoló fenyegetés nem szabványos viselkedést eredményez, gyakran gyanútlan felhasználókat vagy entitásokat (más néven kompromittált bennfenteseket) von maga után. Az UEBA technikák számos érdekes lehetőséget kínálnak az ilyen fenyegetések észlelésére, a jel-zaj arány javítására, az értesítések mennyiségének megszilárdítására és csökkentésére, a fennmaradó riasztások rangsorolására, valamint az események hatékony reagálásának és kivizsgálásának elősegítésére.

Az ezt a problémakört megcélzó UEBA-szállítók gyakran kétirányú integrációval rendelkeznek a szervezet SIEM-rendszereivel.

Adatok kiszűrése

A feladat ebben az esetben annak észlelése, hogy az adatok a szervezeten kívülre kerülnek.
Az erre a kihívásra összpontosító szállítók általában a DLP vagy DAG képességeket használják ki anomáliák észlelésével és fejlett analitikával, ezáltal javítva a jel-zaj arányt, megszilárdítva az értesítések mennyiségét, és prioritást adva a fennmaradó triggereknek. A további kontextus érdekében a szállítók általában nagyobb mértékben támaszkodnak a hálózati forgalomra (például a webproxykra) és a végpontadatokra, mivel ezen adatforrások elemzése segíthet az adatok kiszűrésével kapcsolatos vizsgálatokban.

Az adatok kiszűrésének észlelése a szervezetet fenyegető bennfentesek és külső hackerek elfogására szolgál.

A privilegizált hozzáférés azonosítása és kezelése

A független UEBA-megoldások gyártói ezen a szakterületen megfigyelik és elemzik a felhasználói viselkedést a már kialakult jogrendszer hátterében, hogy azonosítsák a túlzott jogosultságokat vagy a rendellenes hozzáférést. Ez minden típusú felhasználóra és fiókra vonatkozik, beleértve a privilegizált és szolgáltatási fiókokat is. A szervezetek az UEBA-t arra is használják, hogy megszabaduljanak az alvó fiókoktól és a szükségesnél magasabb felhasználói jogosultságoktól.

Az események prioritása

Ennek a feladatnak az a célja, hogy prioritást adjon a technológiai veremben lévő megoldások által generált értesítéseknek, hogy megértse, mely incidensekkel vagy potenciális incidensekkel kell először foglalkozni. Az UEBA módszertanai és eszközei hasznosak az adott szervezet számára különösen rendhagyó vagy különösen veszélyes események azonosításában. Ebben az esetben az UEBA-mechanizmus nemcsak az alapszintű tevékenységi és fenyegetési modelleket használja, hanem a vállalat szervezeti felépítésére vonatkozó információkkal is telíti az adatokat (például a kritikus erőforrások vagy szerepkörök és az alkalmazottak hozzáférési szintjei).

Az UEBA megoldások megvalósításának problémái

Az UEBA megoldások piaci fájdalma a magas ára, a komplex megvalósítás, karbantartás és használat. Miközben a cégek a különféle belső portálok számával küszködnek, újabb konzolt kapnak. Az új eszközbe fordított idő- és erőforrás-befektetés mértéke a felmerülő kihívásoktól és a megoldásukhoz szükséges elemzési típusoktól függ, és legtöbbször nagy beruházást igényel.

Ellentétben azzal, amit sok gyártó állít, az UEBA nem egy „állítsd be és felejtsd el” eszköz, amely aztán napokig folyamatosan futhat.
A Gartner ügyfelei például megjegyzik, hogy az UEBA-kezdeményezés nulláról való elindítása 3-6 hónapig tart, hogy elérje az első eredményeket azon problémák megoldásában, amelyekre ezt a megoldást alkalmazták. Az összetettebb feladatoknál, mint például a bennfentes fenyegetések azonosítása egy szervezetben, az időtartam 18 hónapra nő.

Az UEBA bevezetésének nehézségét és az eszköz jövőbeni hatékonyságát befolyásoló tényezők:

  • A szervezeti architektúra, a hálózati topológia és az adatkezelési szabályzatok összetettsége
  • A megfelelő adatok megfelelő részletezettségi szinten való elérhetősége
  • A szállító elemzési algoritmusainak összetettsége – például statisztikai modellek használata és gépi tanulás, szemben az egyszerű mintákkal és szabályokkal.
  • A benne foglalt előre konfigurált elemzés mennyisége – vagyis a gyártó megértése arról, hogy az egyes feladatokhoz milyen adatokat kell gyűjteni, és mely változók és attribútumok a legfontosabbak az elemzés elvégzéséhez.
  • Milyen könnyen képes a gyártó automatikusan integrálni a szükséges adatokat.

    Például:

    • Ha egy UEBA-megoldás SIEM rendszert használ az adatok fő forrásaként, a SIEM gyűjt-e információkat a szükséges adatforrásokból?
    • A szükséges eseménynaplók és szervezeti kontextus adatok továbbíthatók egy UEBA-megoldáshoz?
    • Ha a SIEM rendszer még nem gyűjti és nem ellenőrzi az UEBA-megoldáshoz szükséges adatforrásokat, akkor hogyan lehet azokat oda továbbítani?

  • Mennyire fontos a szervezet számára az alkalmazási forgatókönyv, hány adatforrást igényel, és ez a feladat mennyire van átfedésben a gyártó szakterületével.
  • Milyen mértékű szervezeti érettség és részvétel szükséges – például szabályok és modellek megalkotása, fejlesztése, finomítása; súlyozás hozzárendelése a változókhoz az értékeléshez; vagy a kockázatértékelési küszöb módosítása.
  • Mennyire méretezhető a szállító megoldása és architektúrája a szervezet jelenlegi méretéhez és jövőbeni követelményeihez képest.
  • Ideje alapmodelleket, profilokat és kulcscsoportokat készíteni. A gyártóknak gyakran legalább 30 (és néha akár 90) napra van szükségük az elemzés elvégzéséhez, mielőtt meghatároznák a „normál” fogalmakat. Az előzményadatok egyszeri betöltése felgyorsíthatja a modell képzését. Néhány érdekes eset gyorsabban azonosítható szabályok segítségével, mint a gépi tanulás használata hihetetlenül kis mennyiségű kezdeti adattal.
  • A dinamikus csoportosítás és a fiókprofil kialakításához szükséges erőfeszítések szintje (szolgáltatás/személy) nagymértékben eltérhet a megoldások között.

Forrás: will.com

Hozzászólás