ProHoster > Blog > Internet Neiegkeeten > Den UEBA Maart ass dout - vive UEBA

Den UEBA Maart ass dout - vive UEBA

Den UEBA Maart ass dout - vive UEBA

Haut wäerte mir e kuerzen Iwwerbléck iwwer de Benotzer- an Entity-Behavioral Analytics (UEBA) Maart baséieren op der leschter Gartner Fuerschung. Den UEBA Maart ass um Enn vun der "Entäuschungsstadium" laut Gartner Hype Cycle fir Threat-Facing Technologies, wat d'Reife vun der Technologie ugeet. Mä de Paradox vun der Situatioun läit am gläichzäiteg allgemenge Wuesstem vun Investitiounen an UEBA Technologien an de verschwannen Maart vun onofhängeg UEBA Léisungen. Gartner virausgesot datt d'UEBA en Deel vun der Funktionalitéit vu verbonne Informatiounssécherheetsléisungen gëtt. De Begrëff "UEBA" wäert méiglecherweis aus der Benotzung falen an duerch en aneren Akronym ersat ginn, deen op e méi schmueler Applikatiounsberäich fokusséiert (z.B. "Benotzerverhalensanalyse"), en ähnlechen Applikatiounsberäich (z.B. "Datenanalytik"), oder einfach e puer ginn neit Buzzword (zum Beispill, de Begrëff "kënschtlech Intelligenz" [AI] gesäit interessant aus, obwuel et fir modern UEBA Hiersteller kee Sënn mécht).

D'Schlësselbefunde vun der Gartner Studie kënne wéi follegt zesummegefaasst ginn:

  • D'Reife vum Maart fir Verhalensanalyse vu Benotzer an Entitéite gëtt bestätegt duerch d'Tatsaach datt dës Technologien vum mëttel- a grousse Firmesegment benotzt gi fir eng Rei vu Geschäftsproblemer ze léisen;
  • UEBA Analyse Fähegkeeten sinn an eng breet Palette vun Zesummenhang Informatioun Sécherheet Technologien gebaut, wéi Cloud Zougang Sécherheet Broker (CASBs), Identitéit Gouvernance an Administratioun (IGA) SIEM Systemer;
  • Den Hype ronderëm UEBA-Verkeefer an déi falsch Notzung vum Begrëff "kënschtlech Intelligenz" mécht et schwéier fir d'Clienten den realen Ënnerscheed tëscht den Technologien vun den Hiersteller an der Funktionalitéit vun de Léisungen ze verstoen ouni e Pilotprojet ze maachen;
  • D'Clientë bemierken datt d'Ëmsetzungszäit an den alldeegleche Gebrauch vun UEBA Léisunge méi Aarbechtsintensiv an Zäitopwendeg kënne sinn wéi den Hiersteller versprécht, och wann Dir nëmmen Basis Bedrohungserkennungsmodeller berücksichtegt. Benotzerdefinéiert oder Randverbrauchsfäll bäizefügen kann extrem schwiereg sinn an Expertise an der Datewëssenschaft an Analyse erfuerderen.

Strategesch Maart Entwécklung Prognosen:

  • Bis 2021 wäert de Maart fir Benotzer- an Entitéitverhalensanalyse (UEBA) Systemer ophalen als separat Gebitt ze existéieren a wäert sech op aner Léisunge mat UEBA Funktionalitéit verschwannen;
  • Bis 2020 wäerten 95% vun allen UEBA Deployementer Deel vun enger méi breeder Sécherheetsplattform sinn.

Definitioun vun UEBA Léisungen

UEBA Léisunge benotzen agebaute Analyse fir d'Aktivitéit vun de Benotzer an aner Entitéiten ze evaluéieren (wéi Hosten, Uwendungen, Netzverkéier an Dategeschäfter).
Si entdecken Geforen a potenziell Tëschefäll, representéieren typesch anomal Aktivitéit am Verglach zum Standardprofil a Verhalen vu Benotzer an Entitéiten an ähnleche Gruppen iwwer eng Zäitperiod.

Déi meescht üblech Benotzungsfäll am Enterprise Segment sinn Bedrohungserkennung an Äntwert, souwéi Detektioun an Äntwert op Insider Bedrohungen (meeschtens kompromittéiert Insider; heiansdo intern Ugräifer).

UEBA ass wéi Entscheedungan Funktioun, an e spezifescht Tool agebaut:

  • D'Léisung ass Hiersteller vun "rengen" UEBA Plattformen, dorënner Ubidder déi och SIEM Léisunge separat verkafen. Fokuséiert op eng breet Palette vu Geschäftsproblemer an der Verhalensanalyse vu béide Benotzer an Entitéiten.
  • Embedded - Hiersteller / Divisiounen déi UEBA Funktiounen an Technologien an hir Léisungen integréieren. Typesch fokusséiert op e méi spezifesche Set vu Geschäftsproblemer. An dësem Fall gëtt d'UEBA benotzt fir d'Verhalen vun de Benotzer an/oder Entitéiten ze analyséieren.

Gartner kuckt UEBA laanscht dräi Achsen, dorënner Problemléiser, Analyse an Datenquellen (kuckt Figur).

Den UEBA Maart ass dout - vive UEBA

"Pure" UEBA Plattformen versus gebaut-an UEBA

Gartner betruecht eng "reng" UEBA Plattform als Léisungen déi:

  • léisen verschidde spezifesch Problemer, wéi d'Iwwerwaachung vun privilegiéierten Benotzer oder d'Output vun Daten ausserhalb vun der Organisatioun, an net nëmmen déi abstrakt "Iwwerwaachung vun anomaler Benotzeraktivitéit";
  • involvéiert d'Benotzung vu komplexe Analyse, onbedéngt op Basis analytesch Approchen;
  • bitt e puer Méiglechkeeten fir Datensammlung, souwuel agebaute Datequellemechanismus a vu Logverwaltungsinstrumenter, Data Lake an / oder SIEM Systemer, ouni den obligatoresche Besoin fir separat Agenten an der Infrastruktur z'installéieren;
  • ka kaaft an als Stand-alone Léisunge kaaft ginn anstatt abegraff
    Zesummesetzung vun anere Produkter.

D'Tabell hei ënnen vergläicht déi zwou Approchen.

Dësch 1. "Pure" UEBA Léisungen vs gebaut-an

Kategorie "Pure" UEBA Plattformen Aner Léisunge mat gebaut-an UEBA
Problem ze léisen Analyse vum Benotzerverhalen an Entitéiten. Mangel un Daten kann d'UEBA limitéieren fir d'Verhalen vun nëmmen Benotzer oder Entitéiten ze analyséieren.
Problem ze léisen Déngt fir eng breet Palette vu Problemer ze léisen Spezialiséiert op eng limitéiert Formatioun vun Aufgaben
Analytics Anomalie Detektioun mat verschiddenen analytesche Methoden - haaptsächlech duerch statistesch Modeller a Maschinnléieren, zesumme mat Reegelen an Ënnerschrëften. Kommt mat agebauter Analyse fir d'Benotzer- an Entitéitsaktivitéit mat hire Profiler a Kollegen ze vergläichen. Ähnlech wéi reng UEBA, awer d'Analyse kann nëmme fir Benotzer an / oder Entitéite limitéiert ginn.
Analytics Fortgeschratt analytesch Fäegkeeten, net nëmme vu Reegelen limitéiert. Zum Beispill, e Clustering Algorithmus mat dynamescher Gruppéierung vun Entitéiten. Ähnlech wéi "reng" UEBA, awer Entitéitsgruppéierung an e puer embedded Bedrohungsmodeller kann nëmme manuell geännert ginn.
Analytics Korrelatioun vun Aktivitéit a Verhalen vun Benotzer an aner Entitéite (zum Beispill, mat Bayesian Netzwierker) an Aggregatioun vun individuell Risiko Verhalen fir anomal Aktivitéit z'identifizéieren. Ähnlech wéi reng UEBA, awer d'Analyse kann nëmme fir Benotzer an / oder Entitéite limitéiert ginn.
Datequellen Erhalen Eventer op Benotzer an Entitéite vun Datenquellen direkt duerch agebaute Mechanismen oder existent Dategeschäfter, wéi SIEM oder Data Lake. Mechanismen fir Daten ze kréien sinn normalerweis nëmmen direkt an beaflossen nëmmen d'Benotzer an / oder aner Entitéiten. Benotzt keng Log Management Tools / SIEM / Data Lake.
Datequellen D'Léisung soll net nëmmen op den Netzverkéier als Haaptquell vun Daten vertrauen, an och net nëmmen op seng eegen Agenten vertrauen fir Telemetrie ze sammelen. D'Léisung kann nëmmen op Netzverkéier konzentréieren (zum Beispill, NTA - Netzverkéier Analyse) an / oder seng Agenten op Enn Apparater benotzen (zum Beispill, Employé Iwwerwachung Utilities).
Datequellen Saturéieren Benotzer / Entitéit Daten mat Kontext. Ënnerstëtzt d'Sammlung vu strukturéierten Eventer an Echtzäit, souwéi strukturéiert / onstrukturéiert kohäsiv Donnéeën aus IT Verzeichnisser - zum Beispill Active Directory (AD), oder aner Maschinn liesbar Informatiounsressourcen (zum Beispill HR Datenbanken). Ähnlech wéi reng UEBA, awer den Ëmfang vu kontextuellen Donnéeën ka vu Fall zu Fall ënnerscheeden. AD an LDAP sinn déi heefegst kontextuell Dategeschäfter déi vun embedded UEBA Léisunge benotzt ginn.
Disponibilitéit Bitt déi opgelëscht Features als e Standalone Produkt. Et ass onméiglech eng gebaut-an UEBA Funktionalitéit ze kafen ouni eng extern Léisung ze kafen an där se gebaut ass.
Source: Gartner (Mee 2019)

Also, fir verschidde Probleemer ze léisen, kann embedded UEBA Basis UEBA Analytik benotzen (zum Beispill einfach oniwwerwaacht Maschinnléieren), awer gläichzäiteg, duerch den Zougang zu genau déi néideg Donnéeën, kann et allgemeng méi effektiv sinn wéi e "pure" UEBA Léisung. Zur selwechter Zäit bidden "reng" UEBA Plattformen, wéi erwaart, méi komplex Analyse als den Haaptknowhow am Verglach zum agebaute UEBA-Tool. Dës Resultater sinn an Table 2 zesummegefaasst.

Dësch 2. D'Resultat vun den Ënnerscheeder tëscht "reng" an gebaut-an UEBA

Kategorie "Pure" UEBA Plattformen Aner Léisunge mat gebaut-an UEBA
Analytics Uwendbarkeet fir eng Vielfalt vu Geschäftsproblemer ze léisen implizéiert e méi universelle Set vun UEBA Funktiounen mat engem Akzent op méi komplex Analyse a Maschinnléiere Modeller. Fokusséieren op e méi klenge Set vu Geschäftsproblemer bedeit héich spezialiséiert Features déi sech op Applikatiounsspezifesch Modeller mat méi einfacher Logik konzentréieren.
Analytics Personnalisatioun vum analytesche Modell ass noutwendeg fir all Applikatiounsszenario. Analytesch Modeller si virkonfiguréiert fir den Tool deen UEBA dran agebaut huet. En Tool mat agebauter UEBA erreecht allgemeng méi séier Resultater fir verschidde Geschäftsproblemer ze léisen.
Datequellen Zougang zu Datenquellen aus allen Ecker vun der Firmeninfrastruktur. Manner Datenquellen, normalerweis limitéiert duerch d'Disponibilitéit vun Agenten fir si oder dem Tool selwer mat UEBA Funktiounen.
Datequellen D'Informatioun, déi an all Logbuch enthale gëtt, kann duerch d'Datequell limitéiert sinn a kënnen net all déi néideg Donnéeën fir den zentraliséierten UEBA-Tool enthalen. De Betrag an d'Detailer vun de Matière Daten, déi vum Agent gesammelt ginn an un d'UEBA iwwerdroe ginn, kënne speziell konfiguréiert ginn.
Architektur Et ass e komplette UEBA Produkt fir eng Organisatioun. Integratioun ass méi einfach mat de Fäegkeete vun engem SIEM System oder Data Lake. Verlaangt eng separat Formatioun vun UEBA Fonctiounen fir jiddereng vun den Léisungen déi gebaut-an UEBA hunn. Embedded UEBA-Léisungen erfuerderen dacks d'Installatioun vun Agenten an d'Gestioun vun Daten.
Integratioun Manuell Integratioun vun der UEBA Léisung mat aneren Tools an all Fall. Erlaabt eng Organisatioun hiren Technologiestack opzebauen baséiert op der "Bescht tëscht Analoga" Approche. D'Haaptbündel vun UEBA Funktiounen si scho vum Hiersteller am Tool selwer abegraff. Den UEBA Modul ass agebaut a kann net ewechgeholl ginn, sou datt d'Clienten et net mat eppes vun hiren eegene kënnen ersetzen.
Source: Gartner (Mee 2019)

UEBA als Funktioun

UEBA gëtt eng Feature vun end-to-end Cybersecurity-Léisungen, déi vun zousätzlech Analysen profitéiere kënnen. UEBA ënnersträicht dës Léisungen, bitt eng mächteg Schicht vun fortgeschrattene Analyse baséiert op Benotzer- an / oder Entitéitsverhalensmuster.

De Moment um Maart ass déi agebaute UEBA Funktionalitéit an de folgende Léisungen ëmgesat, gruppéiert no technologeschen Ëmfang:

  • Datekonzentréiert Audit a Schutz, sinn Ubidder déi sech fokusséiere fir d'Sécherheet vun der strukturéierter an onstrukturéierter Datelagerung (alias DCAP) ze verbesseren.

    An dëser Kategorie vu Verkeefer notéiert Gartner ënner anerem, Varonis Cybersecurity Plattform, déi d'Benotzerverhalensanalyse ubitt fir Ännerungen an onstrukturéierten Daterechter, Zougang an Notzung iwwer verschidden Informatiounsgeschäfter ze iwwerwaachen.

  • CASB Systemer, bitt Schutz géint verschidde Bedrohungen an Cloud-baséiert SaaS Uwendungen andeems Dir Zougang zu Cloud Servicer fir ongewollten Apparater, Benotzer an Applikatiounsversiounen blockéiert mat engem adaptiven Zougangskontrollsystem.

    All Maartféierend CASB Léisungen enthalen UEBA Fäegkeeten.

  • DLP Léisungen - konzentréiert sech op den Transfer vu kriteschen Donnéeën ausserhalb vun der Organisatioun oder hire Mëssbrauch z'entdecken.

    DLP Fortschrëtter baséieren gréisstendeels op Inhaltsverständnis, mat manner Fokus op Kontext ze verstoen wéi Benotzer, Applikatioun, Standuert, Zäit, Geschwindegkeet vun Eventer an aner extern Faktoren. Fir effektiv ze sinn, mussen DLP Produkter souwuel Inhalt wéi och Kontext erkennen. Dofir fänken vill Hiersteller un d'UEBA Funktionalitéit an hir Léisungen ze integréieren.

  • Employé Iwwerwachung ass d'Fähegkeet Employé Aktiounen opzehuelen an ze widderhuelen, normalerweis an engem Dateformat gëeegent fir juristesch Prozeduren (wann néideg).

    Konstant Iwwerwachung Benotzer generéiert dacks eng iwwerwältegend Quantitéit un Daten déi manuell Filteren a mënschlech Analyse erfuerderen. Dofir gëtt UEBA bannent Iwwerwaachungssystemer benotzt fir d'Performance vun dëse Léisungen ze verbesseren an nëmmen héich-Risiko Tëschefäll z'entdecken.

  • Endpoint Sécherheet - Endpoint Detection and Response (EDR) Léisungen an Endpoint Protection Plattformen (EPP) bidden mächteg Instrumentatioun a Betribssystem Telemetrie fir
    Enn Apparater.

    Esou User-Zesummenhang Telemetrie kann analyséiert ginn fir gebaut-an UEBA Funktionalitéit ze bidden.

  • Online Bedruch - Online Bedruchdetektiounsléisungen entdecken deviant Aktivitéit déi de Kompromëss vum Client säi Kont duerch e Spoof, Malware oder Ausbeutung vun ongesécherten Verbindungen / Browser Traffic Offangen weist.

    Déi meescht Bedruchléisungen benotzen d'Essenz vun der UEBA, Transaktiounsanalyse an Apparatmiessung, mat méi fortgeschratt Systemer déi se ergänzen andeems se Bezéiungen an der Identitéitsdatebank passen.

  • IAM an Zougang Kontroll - Gartner notéiert en evolutiven Trend ënner Zougankskontrollsystem Ubidder fir mat pure Ubidder z'integréieren an e puer UEBA Funktionalitéit an hir Produkter ze bauen.
  • IAM an Identitéit Gouvernance an Administratioun (IGA) Systemer benotzt UEBA fir Verhalens- an Identitéitsanalytik Szenarie wéi Anomalie Detektioun, dynamesch Gruppéierungsanalyse vun ähnlechen Entitéiten, Loginanalyse an Zougangspolitikanalyse ze decken.
  • IAM a Privileged Access Management (PAM) – Wéinst der Roll vun der Iwwerwaachung vun der Notzung vun administrativen Konten hunn PAM-Léisungen Telemetrie fir ze weisen wéi, firwat, wéini a wou administrativ Konten benotzt goufen. Dës Donnéeë kënnen analyséiert ginn mat der agebauter Funktionalitéit vun der UEBA fir d'Präsenz vun anomalem Verhalen vun Administrateuren oder béiswëlleg Absicht.
  • Hiersteller NTA (Network Traffic Analysis) - Benotzt eng Kombinatioun vu Maschinnléieren, fortgeschratt Analyse a Regel-baséiert Detektioun fir verdächteg Aktivitéit op Firmennetzwierker z'identifizéieren.

    NTA Tools analyséieren kontinuéierlech Quellverkéier an / oder Flow records (zB NetFlow) fir Modeller ze bauen déi normal Netzwierkverhalen reflektéieren, haaptsächlech op Entitéitsverhalensanalyse fokusséieren.

  • siem - vill SIEM Ubidder hunn elo fortgeschratt Datenanalysefunktionalitéit a SIEM agebaut, oder als separat UEBA Modul. Am ganze Joer 2018 a bis elo am Joer 2019 gouf et eng kontinuéierlech Verschlechterung vun de Grenzen tëscht SIEM an UEBA Funktionalitéit, wéi am Artikel diskutéiert. "Technology Insight for the Modern SIEM". SIEM Systemer si besser ginn fir mat Analyse ze schaffen a méi komplex Applikatiounsszenarien ze bidden.

UEBA Applikatioun Szenarie

UEBA Léisunge kënnen eng breet Palette vu Problemer léisen. Wéi och ëmmer, Gartner Clienten averstanen datt de primäre Benotzungsfall d'Entdeckung vu verschidde Kategorien vu Bedrohungen involvéiert, erreecht andeems se dacks Korrelatiounen tëscht Benotzerverhalen an aner Entitéite weisen an analyséieren:

  • onerlaabten Zougang a Bewegung vun Daten;
  • verdächteg Verhalen vun privilegiéierten Benotzer, béiswëlleg oder onerlaabt Aktivitéit vun Mataarbechter;
  • Net-Standard Zougang a Notzung vu Cloud Ressourcen;
  • an anerer.

Et ginn och eng Rei vun atypeschen Net-Cybersecurity Notzungsfäll, wéi Bedruch oder Employé Iwwerwaachung, fir déi d'UEBA gerechtfäerdegt ass. Wéi och ëmmer, si erfuerderen dacks Datenquellen ausserhalb vun IT an Informatiounssécherheet, oder spezifesch analytesch Modeller mat engem déiwe Verständnis vun dësem Gebitt. Déi fënnef Haaptszenarien an Uwendungen, déi béid UEBA Hiersteller an hir Clienten averstane sinn, ginn hei ënnen beschriwwen.

"Béisen Insider"

UEBA Léisungsanbieter, déi dëst Szenario ofdecken, iwwerwaachen nëmme Mataarbechter a vertrauenswürdege Kontraktoren fir ongewéinlech, "schlecht" oder béiswëlleg Verhalen. Verkeefer an dësem Beräich vun Expertise iwwerwaachen oder analyséieren net d'Behuele vu Servicekonten oder aner net-mënschlech Entitéiten. Haaptsächlech dofir si se net fokusséiert op fortgeschratt Bedrohungen z'entdecken wou Hacker existent Konten iwwerhuelen. Amplaz si se zielt fir Mataarbechter ze identifizéieren déi u schiedlechen Aktivitéiten involvéiert sinn.

Wesentlech staamt d'Konzept vun engem "béiswëllegen Insider" vu vertrauenswürdege Benotzer mat béiswëllegen Absicht, déi Weeër sichen fir hire Patron Schued ze verursaachen. Well béiswëlleg Absicht schwéier ze moossen ass, analyséieren déi bescht Ubidder an dëser Kategorie kontextuell Verhalensdaten déi net einfach an Auditprotokoller verfügbar sinn.

Léisungsanbieter an dësem Raum och optimal addéieren an analyséieren onstrukturéiert Donnéeën, wéi E-Mailinhalt, Produktivitéitsberichter oder Social Media Informatioun, fir Kontext fir Verhalen ze bidden.

Kompromittéiert Insider an opdrénglech Geforen

D'Erausfuerderung ass fir "schlecht" Verhalen séier z'entdecken an z'analyséieren wann den Ugräifer Zougang zu der Organisatioun kritt huet an ufänkt an der IT-Infrastruktur ze beweegen.
Assertiv Bedrohungen (APTs), wéi onbekannt oder nach net voll verstanen Bedrohungen, sinn extrem schwéier z'entdecken a verstoppen sech dacks hannert legitim Benotzeraktivitéit oder Servicekonten. Esou Gefore hunn normalerweis e komplexe Betribsmodell (kuckt zum Beispill den Artikel " Adresséiert d'Cyber ​​​​Kill Chain") oder hiert Verhalen ass nach net als schiedlech bewäert ginn. Dëst mécht se schwéier z'entdecken mat einfachen Analyse (wéi Matching duerch Musteren, Schwellen oder Korrelatiounsregelen).

Wéi och ëmmer, vill vun dësen opdréngleche Gefore resultéieren zu net-Standard Verhalen, dacks involvéiert unsuspecting Benotzer oder Entitéiten (alias kompromittéiert Insider). UEBA Techniken bidden e puer interessant Méiglechkeeten fir esou Geforen z'entdecken, Signal-to-Geräusche Verhältnis ze verbesseren, d'Notifikatiounsvolumen ze konsolidéieren an ze reduzéieren, d'Prioritéit vun de verbleiwen Alarmer ze prioritären an eng effektiv Tëschefallreaktioun an Enquête erliichteren.

UEBA Ubidder, déi dëst Problemberäich zielen, hunn dacks bi-Directional Integratioun mat de SIEM Systemer vun der Organisatioun.

Daten Exfiltratioun

D'Aufgab an dësem Fall ass d'Tatsaach z'entdecken datt Daten ausserhalb vun der Organisatioun transferéiert ginn.
Verkeefer konzentréiert sech op dës Erausfuerderung typesch d'DLP oder DAG Fäegkeeten mat Anomalie Detektioun a fortgeschratt Analysen ze benotzen, doduerch d'Signal-to-Geräusch Verhältnis ze verbesseren, d'Notifikatiounsvolumen ze konsolidéieren an d'Prioritéit vun de verbleiwen Trigger ze setzen. Fir zousätzlech Kontext vertrauen Ubidder typesch méi schwéier op Netzwierkverkéier (wéi Webproxyen) an Endpunktdaten, well d'Analyse vun dësen Datequellen bei Datexfiltratiounsuntersuchungen hëllefe kënnen.

Dateexfiltratiounserkennung gëtt benotzt fir Insider an extern Hacker ze fangen, déi d'Organisatioun menacéieren.

Identifikatioun a Gestioun vun privilegiéierten Zougang

Hiersteller vun onofhängege UEBA-Léisungen an dësem Beräich vun der Expertise observéieren an analyséieren d'Benotzerverhalen géint den Hannergrond vun engem scho geformte System vu Rechter fir exzessiv Privilegien oder anomalen Zougang z'identifizéieren. Dëst gëllt fir all Zorte vu Benotzer a Konten, dorënner privilegiéierten a Servicekonten. Organisatiounen benotzen och UEBA fir dormant Konten a Benotzerprivilegien ze läschen, déi méi héich sinn wéi néideg.

Tëschefall Prioritéit

D'Zil vun dëser Aufgab ass Notifikatiounen ze prioritär generéiert vu Léisungen an hirem Technologiestack fir ze verstoen wéi eng Tëschefäll oder potenziell Tëschefäll als éischt adresséiert solle ginn. UEBA Methodologien an Tools sinn nëtzlech fir Tëschefäll z'identifizéieren déi besonnesch anomal oder besonnesch geféierlech fir eng bestëmmten Organisatioun sinn. An dësem Fall benotzt den UEBA Mechanismus net nëmmen de Basisniveau vun Aktivitéiten a Bedrohungsmodeller, awer och saturéiert d'Donnéeën mat Informatioun iwwer d'Organisatiounsstruktur vun der Firma (zum Beispill kritesch Ressourcen oder Rollen an Zougangsniveauen vun de Mataarbechter).

Problemer vun der Ëmsetzung vun UEBA Léisungen

De Maart Schmerz vun UEBA Léisungen ass hiren héije Präis, komplexe Implementatioun, Ënnerhalt a Gebrauch. Wärend Firme mat der Unzuel vu verschiddenen internen Portalen kämpfen, kréien se eng aner Konsol. D'Gréisst vun der Investitioun vun Zäit a Ressourcen an engem neien Outil hänkt vun den Aufgaben op der Hand an den Aarte vun Analysen of, déi néideg sinn fir se ze léisen, a meeschtens erfuerdert grouss Investitiounen.

Am Géigesaz zu deem wat vill Hiersteller behaapten, ass d'UEBA keen "set it and forget it"-Tool deen dann kontinuéierlech fir Deeg op Enn leeft.
Gartner Clienten, zum Beispill, bemierken datt et vun 3 bis 6 Méint dauert fir eng UEBA Initiativ vun Null unzefänken fir déi éischt Resultater ze kréien fir d'Problemer ze léisen fir déi dës Léisung ëmgesat gouf. Fir méi komplex Aufgaben, wéi zB Identifikatioun vun Insider Bedrohungen an enger Organisatioun, erhéicht d'Period op 18 Méint.

Faktoren déi d'Schwieregkeet vun der Ëmsetzung vun der UEBA beaflossen an déi zukünfteg Effizienz vum Tool:

  • Komplexitéit vun der Organisatiounsarchitektur, Netzwierktopologie an Datemanagement Politiken
  • Disponibilitéit vun de richtegen Donnéeën um richtegen Detailniveau
  • D'Komplexitéit vun den Analytikalgorithmen vum Verkeefer - zum Beispill d'Benotzung vu statistesche Modeller a Maschinnléieren versus einfache Musteren a Reegelen.
  • De Betrag vun der pre-konfiguréierter Analyse abegraff - dat ass de Verständnis vum Hiersteller vu wéi eng Daten fir all Aufgab gesammelt musse ginn a wéi eng Variabelen an Attributer am wichtegsten sinn fir d'Analyse auszeféieren.
  • Wéi einfach ass et fir den Hiersteller automatesch mat den erfuerderlechen Donnéeën z'integréieren.

    Zum Beispill:

    • Wann eng UEBA Léisung e SIEM System als Haaptquell vu sengen Donnéeën benotzt, sammelt de SIEM Informatioun aus den erfuerderlechen Datequellen?
    • Kann déi néideg Eventprotokoller an organisatoresch Kontextdaten op eng UEBA Léisung geréckelt ginn?
    • Wann de SIEM System nach net d'Datequellen sammelt a kontrolléiert, déi d'UEBA Léisung brauch, wéi kënne se dann dohinner iwwerdroe ginn?

  • Wéi wichteg ass den Uwendungsszenario fir d'Organisatioun, wéivill Datequellen brauch et, a wéi vill iwwerlappt dës Aufgab mam Expertiseberäich vum Hiersteller.
  • Wéi ee Grad vun organisatorescher Reife an Engagement ass erfuerderlech - zum Beispill d'Schafung, d'Entwécklung an d'Verfeinerung vu Regelen a Modeller; Verännerlechen Gewiichter fir Evaluatioun zougewisen; oder d'Risikobewäertungsschwell upassen.
  • Wéi skalierbar ass d'Léisung vum Verkeefer a seng Architektur am Verglach mat der aktueller Gréisst vun der Organisatioun a seng zukünfteg Ufuerderungen.
  • Zäit fir Basismodeller, Profiler a Schlësselgruppen ze bauen. Hiersteller brauchen dacks op d'mannst 30 Deeg (an heiansdo bis zu 90 Deeg) fir Analyse ze maachen ier se "normal" Konzepter definéieren kënnen. Lueden historesch Daten eemol kann Modell Training beschleunegen. E puer vun den interessanten Fäll kënne méi séier mat Reegelen identifizéiert ginn wéi Maschinnléiere mat enger onheemlech klenger Quantitéit un initialen Donnéeën.
  • Den Ustrengungsniveau erfuerderlech fir dynamesch Gruppéierung a Kontoprofiléierung ze bauen (Service / Persoun) ka vill tëscht Léisungen variéieren.

Source: will.com

Setzt e Commentaire