ProHoster > Blog > nûçeyên înternetê > Bazara UEBA mirî ye - bijî UEBA

Bazara UEBA mirî ye - bijî UEBA

Bazara UEBA mirî ye - bijî UEBA

Îro em ê li ser bingeha herî paşîn nihêrînek kurt a Bazara Bikarhêner û Entity Behavioral Analytics (UEBA) peyda bikin. Lêkolîna Gartner. Bazara UEBA li gorî Gartner Hype Cycle ji bo Teknolojiyên Tehdîd-Facing di binê "qonaxa bêhêvîbûnê" de ye, ku mezinbûna teknolojiyê destnîşan dike. Lê paradoksa rewşê di mezinbûna giştî ya hevdemî ya veberhênanên li teknolojiyên UEBA û windabûna bazara çareseriyên serbixwe yên UEBA de ye. Gartner pêşbînî dike ku UEBA dê bibe beşek ji fonksiyonên çareseriyên ewlehiya agahdariya têkildar. Têgeha "UEBA" îhtîmal e ku ji karanînê derkeve û li şûna wê kurtenivîsek din a ku li ser deverek serîlêdanê ya tengtir e (mînak, "analîtîka tevgera bikarhêner"), deverek serîlêdanê ya bi vî rengî (mînak, "analîtîkên daneyê"), an jî bi tenê bibe hin. peyva nû (mînakî, têgîna "îstîxbarata hunerî" [AI] balkêş xuya dike, her çend ew ji hilberînerên nûjen ên UEBA re ti wate nake).

Encamên sereke yên ji lêkolîna Gartner dikarin wiha werin kurt kirin:

  • Mezinbûna bazarê ji bo analîzên behrê yên bikarhêner û saziyan ji hêla vê yekê ve tê pejirandin ku van teknolojiyên ji hêla beşa pargîdaniya navîn û mezin ve têne bikar anîn da ku hejmarek pirsgirêkên karsaziyê çareser bikin;
  • Kapasîteyên analîtîk ên UEBA-yê di nav cûrbecûr teknolojiyên ewlehiya agahdariya têkildar de têne çêkirin, wekî brokerên ewlehiya gihîştina ewr (CASB), pergalên SIEM rêveberiya nasname û rêveberiyê (IGA);
  • Hişmendiya li dora firoşkarên UEBA û karanîna nerast a têgîna "îstîxbarata hunerî" ji xerîdaran re dijwar dike ku ferqa rastîn a di navbera teknolojiyên hilberîner û fonksiyona çareseriyan de bêyî pêkanîna projeyek pîlot fam bikin;
  • Xerîdar destnîşan dikin ku dema bicîhkirinê û karanîna rojane ya çareseriyên UEBA dikare ji sozên çêker kedkar û zexmtir be, tewra dema ku tenê modelên tespîtkirina xeterê yên bingehîn bifikirin. Zêdekirina dozên karanîna xwerû an qeraxê dikare pir dijwar be û di zanistiya daneyê û analîtîk de pisporiyê hewce dike.

Pêşbîniya pêşkeftina bazarê ya stratejîk:

  • Heya sala 2021-an, bazara pergalên analîtîkên behremendiya bikarhêner û saziyan (UEBA) dê wekî herêmek veqetandî raweste û dê berbi çareseriyên din ên bi fonksiyona UEBA ve biçe;
  • Heya sala 2020, 95% ji hemî bicîhkirina UEBA dê bibe beşek ji platformek ewlehiyê ya berfireh.

Pênaseya çareseriyên UEBA

Çareseriyên UEBA analîtîkên çêkirî bikar tînin da ku çalakiya bikarhêner û saziyên din (wek mêvandar, serîlêdan, seyrûsefera torê û firotgehên daneyê) binirxînin.
Ew tehdîd û bûyerên potansiyel tesbît dikin, bi gelemperî çalakiya anormal li gorî profîla standard û tevgera bikarhêner û saziyan di komên wekhev de di heyamekê de temsîl dikin.

Bûyerên herî gelemperî yên karanîna di beşa pargîdaniyê de tespîtkirin û bersivdana metirsiyê ne, û her weha vedîtin û bersivdayîna gefên hundurîn (bi piranî hundurên tawîzdar; carinan êrişkerên hundurîn).

UEBA mîna biryar, û karî, di nav amûrek taybetî de hatî çêkirin:

  • Çareserî çêkerên platformên UEBA yên "paqij" e, di nav de firoşkarên ku di heman demê de çareseriyên SIEM-ê jî ji hev difroşin. Di analîzên behrê yên hem bikarhêner û hem jî saziyan de balê dikişîne ser gelek pirsgirêkên karsaziyê.
  • Embedded - Hilberîner / beşên ku fonksiyon û teknolojiyên UEBA di çareseriyên xwe de yek dikin. Bi gelemperî li ser komek taybetî ya pirsgirêkên karsaziyê disekine. Di vê rewşê de, UEBA ji bo analîzkirina tevgera bikarhêner û / an saziyan tê bikar anîn.

Gartner li UEBA-ê li sê xalan dinêre, di nav de çareserkerên pirsgirêk, analîtîk, û çavkaniyên daneyê (binihêre jimar).

Bazara UEBA mirî ye - bijî UEBA

Platformên "Paqij" UEBA li hember UEBA-ya çêkirî

Gartner platformek UEBA ya "paqij" wekî çareseriyên ku:

  • çend pirsgirêkên taybetî çareser bikin, wek çavdêriya bikarhênerên îmtiyaz an derxistina daneyan li derveyî rêxistinê, û ne tenê "çavdêriya çalakiya nermalava bikarhêner" ya razber;
  • bi karanîna analîtîkên tevlihev, ku hewcedarî li ser bingeha nêzîkatiyên analîtîk ên bingehîn e;
  • çend vebijarkan ji bo berhevkirina daneyan peyda bikin, di nav de hem mekanîzmayên çavkaniya daneya çêkirî û hem jî ji amûrên rêveberiya têketinê, gola daneyê û/an pergalên SIEM, bêyî ku hewcedariya mecbûrî ya bicîhkirina ajanên cihêreng di binesaziyê de peyda bike;
  • dikare wekî çareseriyên serbixwe were kirîn û bicîh kirin ne ku tê de bin
    pêkhatina berhemên din.

Tabloya jêrîn her du rêbazan dide ber hev.

Tablo 1. Çareseriyên UEBA-ya "Paqij" li hember yên çêkirî

category Platformên UEBA yên "Paqij". Çareseriyên din ên bi UEBA-ya çêkirî
Pirsgirêk bê çareserkirin Analîzkirina tevger û sazûmanên bikarhêner. Nebûna daneyan dibe ku UEBA sînordar bike ku behreya tenê bikarhêner an saziyan analîz bike.
Pirsgirêk bê çareserkirin Ji bo çareserkirina gelek pirsgirêkan xizmetê dike Di komek karan de pispor e
Analytics Tespîtkirina anomalî bi karanîna awayên cûrbecûr analîtîkî - nemaze bi modelên statîstîkî û fêrbûna makîneyê, bi rêgez û îmzeyan re. Bi analîtîkên çêkirî re tê da ku çalakiya bikarhêner û saziyê bi profîlên wan û hevkarên xwe re biafirîne û bide berhev. Mîna UEBA-ya paqij, lê analîz dikare tenê ji bikarhêner û/an saziyan re sînordar be.
Analytics Kapasîteyên analîtîk ên pêşkeftî, ne tenê ji hêla rêbazan ve têne sînorkirin. Mînakî, algorîtmayek komkirinê ya bi komkirina dînamîk a saziyan. Mîna UEBA-ya "paqij" e, lê komkirina sazûmanan di hin modelên xeternak ên pêvekirî de tenê dikare bi destan were guheztin.
Analytics Têkiliya çalakî û tevgera bikarhêner û saziyên din (mînakî, karanîna torên Bayesian) û berhevkirina tevgerên xetereya kesane ji bo destnîşankirina çalakiya anormal. Mîna UEBA-ya paqij, lê analîz dikare tenê ji bikarhêner û/an saziyan re sînordar be.
Çavkaniyên daneyan Danîna bûyeran li ser bikarhêner û saziyan ji çavkaniyên daneyê rasterast bi navgîniya mekanîzmayên çêkirî an firotgehên daneya heyî, wek SIEM an gola daneyê. Mekanîzmayên ji bo bidestxistina daneyan bi gelemperî tenê rasterast in û tenê bikarhêner û / an saziyên din bandor dikin. Amûrên rêveberiya têketinê / SIEM / Daneyê bikar neynin.
Çavkaniyên daneyan Pêdivî ye ku çareserî ne tenê xwe bispêre seyrûsefera torê wekî çavkaniya sereke ya daneyê, ne jî pêdivî ye ku ew bi tenê xwe bispêre ajanên xwe ji bo berhevkirina telemetrîyê. Çareserî dikare tenê li ser seyrûsefera torê hûr bibe (mînakî, NTA - analîza seyrûsefera torê) û/an ajanên xwe li ser cîhazên dawî bikar bîne (mînak, karûbarên çavdêriya karmend).
Çavkaniyên daneyan Têrkirina daneya bikarhêner / sazî bi çarçoweyê. Piştgiriya berhevkirina bûyerên birêkûpêk di wextê rast de, û hem jî daneyên hevgirtî yên birêkûpêk/nesazkirî yên ji pelrêçikên IT-ê piştgirî dike - mînakî, Active Directory (AD), an çavkaniyên din ên agahdariya makîne-xwendinê (mînak, databasên HR). Mîna UEBA-ya safî, lê dibe ku qada daneya kontekstê ji doz bi doz ve cûda bibe. AD û LDAP firotgehên daneya hevrû yên herî gelemperî ne ku ji hêla çareseriyên UEBA-yê vegirtî ve têne bikar anîn.
Hilbijartinê Taybetmendiyên navnîşkirî wekî hilberek serbixwe peyda dike. Ne gengaz e ku meriv fonksiyona UEBA-ya çêkirî bikire bêyî kirîna çareseriyek derveyî ya ku tê de hatî çêkirin.
Çavkanî: Gartner (Gulan 2019)

Ji ber vê yekê, ji bo çareserkirina hin pirsgirêkan, UEBA-ya pêvekirî dikare analîtîkên bingehîn ên UEBA-ê bikar bîne (mînak, fêrbûna makîneyê ya hêsan a neçapkirî), lê di heman demê de, ji ber gihîştina tam daneyên pêwîst, ew dikare bi tevahî ji "paqij"ek bi bandortir be. çareseriya UEBA. Di heman demê de, platformên UEBA-ê yên "paqij", wekî ku tê hêvîkirin, li gorî amûra UEBA-ya çêkirî analîtîkên tevlihevtir wekî zanîna sereke pêşkêş dikin. Ev encam di Tabloya 2 de têne kurt kirin.

Table 2. Encama cudahiyên di navbera "paqij" û ava-li UEBA

category Platformên UEBA yên "Paqij". Çareseriyên din ên bi UEBA-ya çêkirî
Analytics Serlêdan ji bo çareserkirina cûrbecûr pirsgirêkên karsaziyê, komek fonksiyonên UEBA-ya gerdûnî ya gerdûnîtir bi giranî li ser analîtîkên tevlihev û modelên fêrbûna makîneyê vedihewîne. Balkêşkirina li ser komek piçûktir a pirsgirêkên karsaziyê tê vê wateyê ku taybetmendiyên pir pispor ên ku li ser modelên taybetî yên serîlêdanê bi mantiqek hêsan hûr dibin.
Analytics Xweserkirina modela analîtîk ji bo her senaryoyek serîlêdanê pêdivî ye. Modelên analîtîk ji bo amûra ku UEBA di nav xwe de çêkiriye pêş-sazkirî ne. Amûrek bi UEBA-ya çêkirî bi gelemperî di çareserkirina hin pirsgirêkên karsaziyê de encamên zûtir digihîje.
Çavkaniyên daneyan Gihîştina çavkaniyên daneyê ji hemî quncikên binesaziya pargîdanî. Kêm çavkaniyên daneyê, bi gelemperî ji hêla hebûna ajanên ji bo wan an amûra xwe bi fonksiyonên UEBA ve têne sînorkirin.
Çavkaniyên daneyan Agahdariya ku di her têketinê de heye dibe ku ji hêla çavkaniya daneyê ve were sînordar kirin û dibe ku hemî daneyên pêwîst ji bo amûra navendî ya UEBA-ê nehewîne. Mîqdar û hûrguliya daneyên xav ên ku ji hêla ajan ve têne berhev kirin û ji UEBA re têne şandin dikare bi taybetî were mîheng kirin.
avakarî Ew ji bo rêxistinek hilberek bêkêmasî ya UEBA ye. Yekbûn bi karanîna kapasîteyên pergalek SIEM an gola Daneyê hêsantir e. Ji bo her yek ji çareseriyên ku UEBA-yê çêkirî komek cûda ya taybetmendiyên UEBA hewce dike. Çareseriyên UEBA-yê yên pêvekirî bi gelemperî sazkirina ajanan û birêvebirina daneyan hewce dike.
Têkilî Di her rewşê de yekbûna manual ya çareseriya UEBA bi amûrên din re. Destûrê dide rêxistinek ku stûna teknolojiya xwe li ser bingeha nêzîkatiya "di nav analogan de çêtirîn" ava bike. Komên sereke yên fonksiyonên UEBA jixwe ji hêla çêker ve di nav amûrê de cih digirin. Modula UEBA-yê çêkirî ye û nayê rakirin, ji ber vê yekê xerîdar nikanin wê bi tiştek xwe biguhezînin.
Çavkanî: Gartner (Gulan 2019)

UEBA wekî fonksiyonek

UEBA dibe taybetmendiyek çareseriyên ewlehiya sîber-dawî-dawî ku dikare ji analîtîkên zêde sûd werbigire. UEBA di bin van çareseriyan de ye, ku li ser bingeha şêwazên tevgerê bikarhêner û / an sazûmanek hêzek analîtîkên pêşkeftî peyda dike.

Naha li sûkê, fonksiyona UEBA-ya çêkirî di çareseriyên jêrîn de, ku ji hêla qada teknolojîk ve têne kom kirin, têne bicîh kirin:

  • Kontrolkirin û parastina data-based, firoşker in ku li ser baştirkirina ewlehiya hilanîna daneya birêkûpêk û nesazkirî (aka DCAP) hûr dibin.

    Di vê kategoriya firoşkaran de, Gartner, di nav tiştên din de, destnîşan dike, Platforma ewlehiya sîber Varonis, ku analîtîkên tevgera bikarhêner pêşkêşî dike da ku guheztinên di destûrên daneya nesazkirî, gihîştin û karanîna li ser dikanên agahdariya cihêreng de bişopîne.

  • sîstemên CASB, di sepanên SaaS-ya-based ewr de parastinê li hember xetereyên cihêreng pêşkêşî dike bi astengkirina gihîştina karûbarên cloudê ji bo cîhazên nedilxwaz, bikarhêner û guhertoyên serîlêdanê yên ku bi karanîna pergalek kontrolkirina gihîştina adapteyî bikar tînin.

    Hemî çareseriyên CASB-ya pêşeng ên bazarê kapasîteyên UEBA-yê hene.

  • çareseriyên DLP - li ser tespîtkirina veguheztina daneyên krîtîk li derveyî rêxistinê an destdirêjiya wê.

    Pêşveçûnên DLP bi piranî li ser têgihiştina naverokê ve girêdayî ye, digel ku kêmtir li ser têgihiştina çarçoweya wekî bikarhêner, serîlêdan, cîh, dem, leza bûyeran, û faktorên din ên derveyî ye. Ji bo ku bandor be, hilberên DLP divê hem naverok û hem jî çarçoveyê nas bikin. Ji ber vê yekê gelek hilberîner dest pê dikin ku fonksiyonên UEBA di çareseriyên xwe de yek bikin.

  • Şopandina karmendan şiyana tomarkirin û dubarekirina kiryarên karmendan e, bi gelemperî di formatek daneyê de ku ji bo dozên dadrêsî maqûl e (heke hewce bike).

    Bi domdarî çavdêriya bikarhêneran bi gelemperî hejmareke pir mezin a daneyan diafirîne ku pêdivî bi fîlterkirina destan û analîza mirovî heye. Ji ber vê yekê, UEBA di hundurê pergalên çavdêriyê de tê bikar anîn da ku performansa van çareseriyan baştir bike û tenê bûyerên xeternak tespît bike.

  • Ewlekariya Endpoint - Çareseriyên tespîtkirin û bersivê (EDR) û platformên parastina xala dawîn (EPP) amûrek hêzdar û telemetra pergala xebitandinê peyda dikin.
    cîhazên dawî.

    Telemetrya bi vî rengî ya bikarhêner dikare were analîz kirin da ku fonksiyona UEBA-ya çêkirî peyda bike.

  • sextekarîya liserxetê - Çareseriyên tesbîtkirina sextekariya serhêl çalakiya devkî ya ku lihevhatina hesabê xerîdar bi xapandinek, malware, an îstismarkirina girêdanên ne ewledar / destwerdana seyrûsefera gerokê destnîşan dike.

    Pir çareseriyên xapandinê esasê UEBA, analîzkirina danûstendinê û pîvandina cîhazê bikar tînin, digel pergalên pêşkeftî ku wan bi hevberdana têkiliyên di databasa nasnameyê de temam dikin.

  • IAM û kontrola gihîştinê - Gartner di nav firoşkarên pergala kontrolkirina gihîştinê de meylek pêşkeftî destnîşan dike da ku bi firoşkarên paqij re tevbigerin û hin fonksiyonên UEBA di hilberên xwe de ava bikin.
  • Pergalên Rêvebirî û Rêvebiriya IAM û Nasnameyê (IGA). UEBA-ê bikar bînin da ku senaryoyên analîzên behre û nasnameyê yên wekî tespîtkirina anomalî, analîza komkirina dînamîkî ya saziyên wekhev, analîza têketinê, û analîza polîtîkaya gihîştinê veşêrin.
  • IAM û Rêvebiriya Gihîştina Taybet (PAM) - Ji ber rola şopandina karanîna hesabên îdarî, çareseriyên PAM-ê xwedan telemetrî ye ku nîşan bide ka çawa, çima, kengê û li ku derê hesabên îdarî hatine bikar anîn. Ev dane dikare bi karanîna fonksiyona çêkirî ya UEBA-yê ji bo hebûna tevgerên nermalayî yên rêveberan an niyeta xirab were analîz kirin.
  • Manufacturers NTA (Analîzkirina Trafîka Torê) - berhevokek fêrbûna makîneyê, analîtîkên pêşkeftî û vedîtina bingeh-qanûn bikar bînin da ku çalakiya gumanbar li ser torên pargîdanî nas bikin.

    Amûrên NTA bi domdarî seyrûsefera çavkaniyê û / an tomarên herikînê (mînak NetFlow) analîz dikin da ku modelên ku behreya torê ya normal nîşan didin, ava bikin, di serî de balê dikişînin ser analîtîkên tevgera sazûman.

  • siem - Gelek firoşkarên SIEM-ê naha xwedan fonksiyonên analîtîka daneya pêşkeftî ne ku di SIEM-ê de, an wekî modulek UEBA-ya cihêreng hatî çêkirin. Di seranserê 2018-an de û heya nuha di sala 2019-an de, wekî ku di gotarê de hatî nîqaş kirin, sînorên di navbera fonksiyonên SIEM û UEBA de bi domdarî nezelal bûne. "Nêrîna Teknolojiyê ji bo SIEM-a nûjen". Pergalên SIEM di xebata bi analîtîk û pêşkêşkirina senaryoyên serîlêdana tevlihevtir de çêtir bûne.

Senaryoyên Serlêdana UEBA

Çareseriyên UEBA dikarin gelek pirsgirêkan çareser bikin. Lêbelê, xerîdarên Gartner dipejirînin ku doza karanîna seretayî tesbîtkirina kategoriyên cûrbecûr tehdîdan pêk tîne, ku bi nîşandana û analîzkirina têkiliyên pir caran di navbera tevgera bikarhêner û saziyên din de têne bidestxistin:

  • gihîştina bêdestûr û tevgera daneyan;
  • tevgerên bi guman ên bikarhênerên îmtiyaz, çalakiya xerab an ne destûrî ya karmendan;
  • Gihîştin û karanîna ne-standard a çavkaniyên ewr;
  • û din

Di heman demê de hejmarek dozên karanîna ne-ewlehiya sîberî yên ne-tîpîkî jî hene, wek sextekarî an çavdêriya karmendan, ji bo ku UEBA dikare rastdar be. Lêbelê, ew bi gelemperî çavkaniyên daneyê li derveyî IT û ewlehiya agahdarî, an modelên analîtîk ên taybetî yên bi têgihiştinek kûr a vê deverê hewce dikin. Pênc senaryo û serîlêdanên sereke yên ku hem hilberînerên UEBA û hem jî xerîdarên wan li ser li hev dikin li jêr têne vegotin.

"Insider xerab"

Pêşkêşvanên çareseriyê yên UEBA yên ku vê senaryoyê vedigirin tenê karmend û peykerên pêbawer ji bo behreyên neasayî, "xirab" an xirab dişopînin. Firoşkarên di vê warê pisporiyê de tevgerên hesabên karûbarê an saziyên din ên ne-mirovî çavdêrî û analîz nakin. Bi giranî ji ber vê yekê, ew li ser tespîtkirina xetereyên pêşkeftî yên ku hacker li ser hesabên heyî digirin balê nadin. Di şûna wê de, ew bi mebesta naskirina karmendên ku di çalakiyên zirardar de ne.

Di bingeh de, têgeha "navdêrek xirab" ji bikarhênerên pêbawer ên bi niyeta xirab a ku li rêyên ku zirarê bidin kardêrê xwe digere. Ji ber ku pîvana niyeta xirab dijwar e, firoşkarên çêtirîn di vê kategoriyê de daneyên tevgerê yên ku bi hêsanî di têketinên kontrolê de peyda nabin analîz dikin.

Pêşkêşvanên çareseriyê di vê cîhê de di heman demê de daneyên nesazkirî, wekî naveroka e-nameyê, raporên hilberandinê, an agahdariya medyaya civakî, bi rengek çêtirîn lê zêde dikin û analîz dikin, da ku çarçoveyek tevgerê peyda bikin.

Tehdîdên hundurîn û destwerdanê lihev kirin

Pirsgirêk ev e ku gava ku êrîşkar bigihîje rêxistinê û di nav binesaziya IT-ê de dest bi tevgerê bike zû behreya "xirab" tespît û analîz bike.
Tehdîdên piştrast (APT), mîna tehdîdên nenas an hîn bi tevahî nehatine fêm kirin, pir dijwar e ku werin tespît kirin û bi gelemperî li pişt çalakiya bikarhêner an hesabên karûbarê rewa vedişêrin. Tehdîdên weha bi gelemperî modelek xebitandinê ya tevlihev heye (binêre, wek nimûne, gotara " Navnîşana Zincîra Kuştina Cyber") an jî tevgera wan hîn wekî zirardar nehatiye nirxandin. Ev yeka wan bi karanîna analîtîkên hêsan (wekî hevgirtina bi qalibên, bend, an qaîdeyên pêwendiyê) dijwar dike.

Lêbelê, gelek ji van tehdîdên destwerdanê di encama behremendiya ne-standard de, bi gelemperî bikarhêner an sazûmanên bê guman (aka hundurên lihevhatî) tevdigerin. Teknolojiyên UEBA gelek firsendên balkêş pêşkêşî dikin da ku tehdîdên weha tespît bikin, rêjeya sînyala-bo-dengê baştir bikin, berhevkirin û kêmkirina qebareya ragihandinê, pêşîgirtina hişyariyên mayî, û hêsankirina bersiv û lêpirsîna bûyerê ya bi bandor.

Firoşkarên UEBA yên ku vê qada pirsgirêkê dikin armanc, bi gelemperî bi pergalên SIEM-ê yên rêxistinê re entegrasyona du-alî ne.

Derxistina daneyan

Di vê rewşê de peywir ev e ku meriv rastiya ku dane li derveyî rêxistinê têne veguheztin tespît bike.
Firoşyar balê dikişînin ser vê dijwariyê bi gelemperî kapasîteyên DLP an DAG-ê bi vedîtina anomalî û analîtîkên pêşkeftî ve bi kar tînin, bi vî rengî rêjeya îşar-to-deng-ê çêtir dikin, qebareya ragihandinê hevgirtî dikin, û pêşî li kêşeyên mayî digirin. Ji bo çarçoveyek din, firoşkar bi gelemperî bi giranî xwe dispêrin seyrûsefera torê (wek nimûneyên webê) û daneyên xala dawîn, ji ber ku analîzkirina van çavkaniyên daneyê dikare di vekolînên derxistina daneyan de bibe alîkar.

Tespîtkirina derxistina daneyan ji bo girtina hundur û hakerên derveyî yên ku rêxistinê tehdît dikin tê bikar anîn.

Nasname û birêvebirina gihîştina îmtiyazê

Hilberînerên çareseriyên serbixwe yên UEBA-yê yên di vê warê pisporiyê de li hember paşperdeya pergalek mafan a ku ji berê ve hatî ava kirin çavdêrî dikin û analîz dikin da ku îmtiyazên zêde an gihîştina anormal nas bikin. Ev ji bo her cûre bikarhêner û hesaban, tevî hesabên îmtiyaz û karûbar, derbas dibe. Rêxistin di heman demê de UEBA bikar tînin da ku ji hesabên xew û îmtiyazên bikarhêner ên ku ji hewcedariyê bilindtir in xilas bibin.

Pêşîniya bûyerê

Armanca vê peywirê ev e ku pêşî li agahdarîyên ku ji hêla çareseriyê ve di stûna teknolojiya wan de têne hilberandin da ku fêm bikin ka kîjan bûyer an bûyerên potansiyel divê pêşî werin çareser kirin. Rêbaz û amûrên UEBA di tespîtkirina bûyerên ku ji bo rêxistinek diyarkirî bi taybetî anormal an bi taybetî xeternak in bikêr in. Di vê rewşê de, mekanîzmaya UEBA ne tenê asta bingehîn a çalakiyê û modelên xetereyê bikar tîne, lê di heman demê de daneyan bi agahdariya li ser avahiya rêxistinî ya pargîdaniyê jî têr dike (mînakî, çavkaniyên krîtîk an rol û astên gihîştina karmendan).

Pirsgirêkên pêkanîna çareseriyên UEBA

Êşa bazarê ya çareseriyên UEBA nirxa wan a bilind, pêkanîna tevlihev, parastin û karanîna wan e. Dema ku pargîdan bi hejmara portalên navxweyî yên cihêreng re têdikoşin, ew konsolek din digirin. Mezinahiya veberhênana dem û çavkaniyan di amûrek nû de bi peywirên li ber dest û celebên analîtîk ên ku ji bo çareserkirina wan hewce ne ve girêdayî ye, û bi gelemperî veberhênanên mezin hewce dike.

Berevajî ya ku gelek hilberîner îdîa dikin, UEBA ne amûrek "wê saz bike û wê ji bîr bike" ye ku wê hingê dikare bi rojan bi domdarî bixebite.
Mînakî, xerîdarên Gartner destnîşan dikin ku ji 3 heya 6 mehan hewce dike ku însiyatîfa UEBA ji sifirê were destpêkirin da ku encamên yekem ên çareserkirina pirsgirêkên ku ev çareserî ji bo wan hatine bicîh kirin bistînin. Ji bo peywirên tevlihevtir, wek nasandina tehdîdên hundurîn di rêxistinekê de, heyama heya 18 mehan zêde dibe.

Faktorên ku bandor li ser dijwariya pêkanîna UEBA û bandora pêşerojê ya amûrê dikin:

  • Tevliheviya mîmariya rêxistinê, topolojiya torê û polîtîkayên rêveberiya daneyê
  • Hebûna daneyên rast di asta rast ya hûrguliyê de
  • Tevliheviya algorîtmayên analîtîk ên firoşkar - mînakî, karanîna modelên statîstîkî û fêrbûna makîneyê li hember qalib û qaîdeyên hêsan.
  • Hejmara analîtîkên pêş-sazkirî tê de - ango, têgihîştina çêker a ku ji bo her peywirê divê çi dane were berhev kirin û çi guherbar û taybetmendî ji bo pêkanîna analîzê herî girîng in.
  • Çiqas hêsan e ku çêker bixweber bi daneya pêwîst re tevbigere.

    Bo nimûne:

    • Ger çareseriyek UEBA pergalek SIEM wekî çavkaniya sereke ya daneyên xwe bikar bîne, gelo SIEM agahdariya ji çavkaniyên daneya pêwîst berhev dike?
    • Ma têketinên bûyerê yên pêwîst û daneyên çarçoveya rêxistinî dikarin berbi çareseriyek UEBA ve werin rêve kirin?
    • Ger pergala SIEM hîn çavkaniyên daneyê yên ku ji hêla çareseriya UEBA ve hewce ne kom neke û kontrol neke, wê hingê ew çawa dikarin li wir werin veguheztin?

  • Senaryoya serîlêdanê ji bo rêxistinê çi qas girîng e, çend çavkaniyên daneyê jê re hewce dike, û ev peywir çiqas bi qada pisporiya çêker re têkildar e.
  • Kîjan pileya gihîştîbûn û tevlêbûna rêxistinî hewce ye - bo nimûne, çêkirin, pêşkeftin û safîkirina rêgez û modelan; ji bo nirxandinê ji guherbaran re giranî danîn; an eyarkirina sînorê nirxandina rîskê.
  • Çareseriya firoşkar û mîmariya wê li gorî mezinahiya heyî ya rêxistinê û hewcedariyên wê yên paşerojê çiqas berbelav e.
  • Dem dema avakirina modelên bingehîn, profîl û komên sereke ye. Hilberîner bi gelemperî herî kêm 30 rojan (û carinan heya 90 rojan) hewce dike ku analîzan bikin berî ku ew karibin têgehên "normal" diyar bikin. Barkirina daneyên dîrokî carekê dikare perwerdehiya modelê zûtir bike. Hin dozên balkêş dikarin bi karanîna rêbazan ji karanîna fêrbûna makîneyê bi hejmareke pir piçûk a daneya destpêkê zûtir zûtir werin nas kirin.
  • Asta hewildana ku ji bo avakirina komkirina dînamîk û profîla hesabê (xizmet / kes) hewce dike di navbera çareseriyan de pir cûda dibe.

Source: www.habr.com

Add a comment