Šodien mēs sniegsim īsu pārskatu par lietotāju un entītiju uzvedības analīzes (UEBA) tirgu, pamatojoties uz jaunākajiem Gartnera pētījums. Saskaņā ar Gartner Hype Cycle for Threat-Facing Technologies datiem UEBA tirgus ir “vilšanās stadijas” apakšā, kas norāda uz tehnoloģijas briedumu. Taču situācijas paradokss slēpjas vienlaicīgā vispārējā investīciju pieaugumā UEBA tehnoloģijās un neatkarīgo UEBA risinājumu tirgus izzūdošajā. Gartner prognozē, ka UEBA kļūs par daļu no saistīto informācijas drošības risinājumu funkcionalitātes. Termins "UEBA", visticamāk, vairs netiks lietots un tiks aizstāts ar citu saīsinājumu, kas vērsts uz šaurāku lietojuma jomu (piemēram, "lietotāja uzvedības analīze"), līdzīgu lietojuma jomu (piemēram, "datu analīze") vai vienkārši kļūs par kādu citu. jauns buzzword (piemēram, termins "mākslīgais intelekts" [AI] izskatās interesants, lai gan mūsdienu UEBA ražotājiem tam nav nekādas jēgas).

Galvenos Gartnera pētījuma rezultātus var apkopot šādi:

Lietotāju un uzņēmumu uzvedības analīzes tirgus briedumu apliecina fakts, ka šīs tehnoloģijas izmanto vidēja un liela uzņēmumu segments, lai atrisinātu vairākas biznesa problēmas;
UEBA analītikas iespējas ir iebūvētas plašā saistīto informācijas drošības tehnoloģiju klāstā, piemēram, mākoņa piekļuves drošības brokeros (CASB), identitātes pārvaldības un administrēšanas (IGA) SIEM sistēmās;
Ažiotāža ap UEBA pārdevējiem un termina “mākslīgais intelekts” nepareizais lietojums apgrūtina klientu izpratni par patieso atšķirību starp ražotāju tehnoloģijām un risinājumu funkcionalitāti, neveicot pilotprojektu;
Klienti atzīmē, ka UEBA risinājumu ieviešanas laiks un ikdienas lietošana var būt darbietilpīgāka un laikietilpīgāka, nekā sola ražotājs, pat ņemot vērā tikai pamata draudu noteikšanas modeļus. Pielāgotu vai malu lietošanas gadījumu pievienošana var būt ārkārtīgi sarežģīta, un tai ir nepieciešamas zināšanas datu zinātnē un analīzē.

Stratēģiskā tirgus attīstības prognoze:

Līdz 2021. gadam lietotāju un entītiju uzvedības analītikas (UEBA) sistēmu tirgus pārstās pastāvēt kā atsevišķa joma un pāries uz citiem risinājumiem ar UEBA funkcionalitāti;
Līdz 2020. gadam 95% no visiem UEBA izvietojumiem būs daļa no plašākas drošības platformas.

UEBA risinājumu definīcija

UEBA risinājumi izmanto iebūvēto analīzi, lai novērtētu lietotāju un citu entītiju (piemēram, saimniekdatoru, lietojumprogrammu, tīkla trafika un datu krātuves) darbību.
Tie atklāj draudus un potenciālus incidentus, kas parasti atspoguļo anomālu darbību salīdzinājumā ar lietotāju un entītiju standarta profilu un uzvedību līdzīgās grupās noteiktā laika periodā.

Visizplatītākie lietošanas gadījumi uzņēmumu segmentā ir draudu atklāšana un reaģēšana, kā arī iekšējās informācijas (galvenokārt uzlauztas iekšējās personas; dažreiz iekšējie uzbrucēji) atklāšana un reaģēšana uz tiem.

UEBA ir kā lēmumuUn funkcija, iebūvēts konkrētā rīkā:

Risinājums ir “tīro” UEBA platformu ražotāji, tostarp pārdevēji, kuri arī pārdod SIEM risinājumus atsevišķi. Koncentrēts uz plašu biznesa problēmu loku gan lietotāju, gan entītiju uzvedības analīzē.
Embedded — ražotāji/nodaļas, kas savos risinājumos integrē UEBA funkcijas un tehnoloģijas. Parasti koncentrējas uz konkrētāku biznesa problēmu kopumu. Šajā gadījumā UEBA izmanto, lai analizētu lietotāju un/vai entītiju uzvedību.

Gartner apskata UEBA pa trim asīm, tostarp problēmu risinātājus, analīzi un datu avotus (skatiet attēlu).

"Tīras" UEBA platformas pret iebūvēto UEBA

Gartner uzskata “tīru” UEBA platformu par risinājumiem, kas:

atrisināt vairākas specifiskas problēmas, piemēram, priviliģētu lietotāju uzraudzību vai datu izvadīšanu ārpus organizācijas, nevis tikai abstraktu “anomālu lietotāju darbību uzraudzību”;
ietver sarežģītas analītikas izmantošanu, kas obligāti balstās uz pamata analītiskām pieejām;
nodrošināt vairākas datu vākšanas iespējas, tostarp gan iebūvētos datu avotu mehānismus, gan žurnālu pārvaldības rīkus, Data Lake un/vai SIEM sistēmas, bez obligātas nepieciešamības infrastruktūrā izvietot atsevišķus aģentus;
var iegādāties un izvietot kā atsevišķus risinājumus, nevis iekļaut tajos
citu produktu sastāvs.

Tālāk esošajā tabulā ir salīdzinātas abas pieejas.

1. tabula. “Tīri” UEBA risinājumi salīdzinājumā ar iebūvētajiem

kategorija	"Tīras" UEBA platformas	Citi risinājumi ar iebūvētu UEBA
Problēma, kas jāatrisina	Lietotāju uzvedības un entītiju analīze.	Datu trūkums var ierobežot UEBA analizēt tikai lietotāju vai vienību uzvedību.
Problēma, kas jāatrisina	Kalpo dažādu problēmu risināšanai	Specializējas ierobežotā uzdevumu komplektā
Analytics	Anomāliju noteikšana, izmantojot dažādas analītiskās metodes — galvenokārt izmantojot statistikas modeļus un mašīnmācīšanos, kā arī noteikumus un parakstus. Nāk ar iebūvētu analīzi, lai izveidotu un salīdzinātu lietotāju un entītiju darbības ar viņu un kolēģu profiliem.	Līdzīgi kā tīrā UEBA, taču analīzi var ierobežot tikai ar lietotājiem un/vai entītijām.
Analytics	Uzlabotas analītiskās iespējas, kuras neierobežo tikai noteikumi. Piemēram, klasterizācijas algoritms ar entītiju dinamisku grupēšanu.	Līdzīgi kā “tīrajā” UEBA, taču vienību grupēšanu dažos iegultos draudu modeļos var mainīt tikai manuāli.
Analytics	Lietotāju un citu vienību darbības un uzvedības korelācija (piemēram, izmantojot Bajesa tīklus) un individuālās riska uzvedības apkopošana, lai identificētu anomālu darbību.	Līdzīgi kā tīrā UEBA, taču analīzi var ierobežot tikai ar lietotājiem un/vai entītijām.
Datu avoti	Lietotāju un entītiju notikumu saņemšana no datu avotiem tieši, izmantojot iebūvētos mehānismus vai esošos datu krātuvjus, piemēram, SIEM vai Data Lake.	Datu iegūšanas mehānismi parasti ir tikai tieši un ietekmē tikai lietotājus un/vai citas vienības. Neizmantojiet žurnālu pārvaldības rīkus / SIEM / Data Lake.
Datu avoti	Risinājumam nevajadzētu paļauties tikai uz tīkla trafiku kā galveno datu avotu, kā arī tam nevajadzētu paļauties tikai uz saviem aģentiem telemetrijas datu vākšanai.	Risinājums var koncentrēties tikai uz tīkla trafiku (piemēram, NTA - tīkla trafika analīze) un/vai izmantot savus aģentus gala ierīcēs (piemēram, darbinieku uzraudzības utilītas).
Datu avoti	Lietotāja/vienības datu piesātināšana ar kontekstu. Atbalsta strukturētu notikumu vākšanu reāllaikā, kā arī strukturētu/nestrukturētu saskaņotu datu apkopošanu no IT direktorijiem – piemēram, Active Directory (AD) vai citiem mašīnlasāmiem informācijas resursiem (piemēram, HR datubāzēm).	Līdzīgi kā tīrā UEBA, taču kontekstuālo datu apjoms katrā gadījumā var atšķirties. AD un LDAP ir visizplatītākie kontekstuālie datu krātuves, ko izmanto iegultie UEBA risinājumi.
Pieejamība	Nodrošina uzskaitītās funkcijas kā atsevišķu produktu.	Nav iespējams iegādāties iebūvēto UEBA funkcionalitāti, neiegādājoties ārēju risinājumu, kurā tā ir iebūvēta.
Avots: Gartner (2019. gada maijs)

Tādējādi, lai atrisinātu noteiktas problēmas, iegultā UEBA var izmantot pamata UEBA analīzi (piemēram, vienkāršu bezuzraudzītu mašīnmācīšanos), taču tajā pašā laikā, pateicoties piekļuvei tieši nepieciešamajiem datiem, tā kopumā var būt efektīvāka nekā “tīra” UEBA risinājums. Tajā pašā laikā “tīrās” UEBA platformas, kā paredzēts, piedāvā sarežģītāku analīzi kā galveno zinātību, salīdzinot ar iebūvēto UEBA rīku. Šie rezultāti ir apkopoti 2. tabulā.

2. tabula. “tīrās” un iebūvētās UEBA atšķirību rezultāts

kategorija	"Tīras" UEBA platformas	Citi risinājumi ar iebūvētu UEBA
Analytics	Piemērojamība dažādu biznesa problēmu risināšanai nozīmē universālāku UEBA funkciju kopumu, uzsvaru liekot uz sarežģītākiem analītikas un mašīnmācīšanās modeļiem.	Koncentrēšanās uz mazāku biznesa problēmu kopumu nozīmē ļoti specializētus līdzekļus, kas koncentrējas uz lietojumprogrammām specifiskiem modeļiem ar vienkāršāku loģiku.
Analytics	Analītiskā modeļa pielāgošana ir nepieciešama katram lietojumprogrammas scenārijam.	Analītiskie modeļi ir iepriekš konfigurēti rīkam, kurā ir iebūvēta UEBA. Rīks ar iebūvētu UEBA parasti sasniedz ātrākus rezultātus noteiktu biznesa problēmu risināšanā.
Datu avoti	Piekļuve datu avotiem no visiem korporatīvās infrastruktūras stūriem.	Mazāk datu avotu, ko parasti ierobežo aģentu pieejamība tiem vai pats rīks ar UEBA funkcijām.
Datu avoti	Katrā žurnālā ietverto informāciju var ierobežot datu avots, un tā var nesaturēt visus centralizētajam UEBA rīkam nepieciešamos datus.	Aģenta savākto un UEBA pārsūtīto neapstrādāto datu apjomu un detalizāciju var īpaši konfigurēt.
Arhitektūra	Tas ir pilnīgs UEBA produkts organizācijai. Integrācija ir vienkāršāka, izmantojot SIEM sistēmas vai Data Lake iespējas.	Nepieciešams atsevišķs UEBA funkciju komplekts katram risinājumam, kuram ir iebūvēta UEBA. Iegultiem UEBA risinājumiem bieži ir jāinstalē aģenti un jāpārvalda dati.
Integrācija	UEBA risinājuma manuāla integrācija ar citiem rīkiem katrā gadījumā. Ļauj organizācijai izveidot savu tehnoloģiju kopumu, pamatojoties uz pieeju “labākais starp analogiem”.	Galvenās UEBA funkciju kopas ražotājs jau ir iekļāvis pašā rīkā. UEBA modulis ir iebūvēts un to nevar noņemt, tāpēc klienti nevar to aizstāt ar kaut ko savu.
Avots: Gartner (2019. gada maijs)

UEBA kā funkcija

UEBA kļūst par visaptverošu kiberdrošības risinājumu iezīmi, kas var gūt labumu no papildu analītikas. UEBA ir šo risinājumu pamatā, nodrošinot jaudīgu uzlabotas analītikas slāni, pamatojoties uz lietotāju un/vai subjektu uzvedības modeļiem.

Šobrīd tirgū iebūvētā UEBA funkcionalitāte ir ieviesta šādos risinājumos, kas sagrupēti pēc tehnoloģiskā apjoma:

Uz datiem vērsts audits un aizsardzība, ir piegādātāji, kuru mērķis ir uzlabot strukturētu un nestrukturētu datu krātuves (pazīstams arī kā DCAP) drošību.
Šajā pārdevēju kategorijā Gartner cita starpā atzīmē Varonis kiberdrošības platforma, kas piedāvā lietotāju uzvedības analīzi, lai pārraudzītu izmaiņas nestrukturēto datu atļaujās, piekļuvē un lietošanā dažādos informācijas krātuvēs.
CASB sistēmas, kas piedāvā aizsardzību pret dažādiem draudiem mākoņa bāzes SaaS lietojumprogrammās, bloķējot piekļuvi mākoņpakalpojumiem nevēlamām ierīcēm, lietotājiem un lietojumprogrammu versijām, izmantojot adaptīvo piekļuves kontroles sistēmu.
Visi tirgū vadošie CASB risinājumi ietver UEBA iespējas.
DLP risinājumi – vērsta uz kritisku datu pārsūtīšanas ārpus organizācijas vai tās ļaunprātīgas izmantošanas atklāšanu.
DLP sasniegumi lielā mērā ir balstīti uz satura izpratni, mazāk koncentrējoties uz konteksta, piemēram, lietotāja, lietojumprogrammas, atrašanās vietas, laika, notikumu ātruma un citu ārējo faktoru izpratni. Lai DLP produkti būtu efektīvi, tiem jāatpazīst gan saturs, gan konteksts. Tāpēc daudzi ražotāji savos risinājumos sāk integrēt UEBA funkcionalitāti.
Darbinieku uzraudzība ir iespēja ierakstīt un atkārtot darbinieku darbības, parasti datu formātā, kas piemērots tiesvedībai (ja nepieciešams).
Pastāvīgi pārraugot lietotājus, bieži tiek ģenerēts milzīgs datu apjoms, kam nepieciešama manuāla filtrēšana un cilvēka analīze. Tāpēc UEBA tiek izmantota uzraudzības sistēmās, lai uzlabotu šo risinājumu veiktspēju un atklātu tikai augsta riska incidentus.
Galapunkta drošība – Galapunktu noteikšanas un reaģēšanas (EDR) risinājumi un galapunktu aizsardzības platformas (EPP) nodrošina jaudīgu instrumentu un operētājsistēmas telemetriju
gala ierīces.

Šādu ar lietotāju saistīto telemetriju var analizēt, lai nodrošinātu iebūvētu UEBA funkcionalitāti.
Tiešsaistes krāpšana - Tiešsaistes krāpšanas atklāšanas risinājumi atklāj novirzes, kas norāda uz klienta konta uzlaušanu viltošanas, ļaunprātīgas programmatūras vai nedrošu savienojumu izmantošanas/pārlūkprogrammas trafika pārtveršanas dēļ.
Lielākā daļa krāpšanas risinājumu izmanto UEBA būtību, darījumu analīzi un ierīču mērījumus, un uzlabotas sistēmas tos papildina, saskaņojot attiecības identitātes datu bāzē.
IAM un piekļuves kontrole – Gartner atzīmē piekļuves kontroles sistēmu pārdevēju evolucionāru tendenci integrēties ar vienkāršiem pārdevējiem un savos produktos iestrādāt dažas UEBA funkcionalitātes.
IAM un identitātes pārvaldības un administrēšanas (IGA) sistēmas izmantojiet UEBA, lai aptvertu uzvedības un identitātes analīzes scenārijus, piemēram, anomāliju noteikšanu, līdzīgu entītiju dinamiskās grupēšanas analīzi, pieteikšanās analīzi un piekļuves politikas analīzi.
IAM un priviliģētās piekļuves pārvaldība (PAM) – Ņemot vērā administratīvo kontu izmantošanas uzraudzības lomu, PAM risinājumiem ir telemetrija, kas parāda, kā, kāpēc, kad un kur tika izmantoti administratīvie konti. Šos datus var analizēt, izmantojot UEBA iebūvēto funkcionalitāti, lai noteiktu administratoru anomālu darbību vai ļaunprātīgu nolūku.
Ražotāju NTA (tīkla trafika analīze) – izmantojiet mašīnmācības, uzlabotas analītikas un uz noteikumiem balstītas noteikšanas kombināciju, lai identificētu aizdomīgas darbības korporatīvajos tīklos.
NTA rīki nepārtraukti analizē avota trafika un/vai plūsmas ierakstus (piemēram, NetFlow), lai izveidotu modeļus, kas atspoguļo normālu tīkla darbību, galvenokārt koncentrējoties uz entītiju uzvedības analīzi.
siem – Daudziem SIEM pārdevējiem tagad ir uzlabota datu analīzes funkcionalitāte, kas iebūvēta SIEM vai kā atsevišķs UEBA modulis. Visā 2018. gadā un līdz šim 2019. gadā ir nepārtraukti izplūdušas robežas starp SIEM un UEBA funkcionalitāti, kā minēts rakstā. "Tehnoloģiju ieskats mūsdienu SIEM". SIEM sistēmas ir kļuvušas labākas, strādājot ar analīzi un piedāvājot sarežģītākus lietojumprogrammu scenārijus.

UEBA pieteikšanās scenāriji

UEBA risinājumi var atrisināt plašu problēmu loku. Tomēr Gartner klienti piekrīt, ka primārais lietošanas gadījums ietver dažādu kategoriju apdraudējumu noteikšanu, ko panāk, parādot un analizējot biežas korelācijas starp lietotāja uzvedību un citām entītijām:

nesankcionēta piekļuve datiem un to pārvietošana;
priviliģētu lietotāju aizdomīga rīcība, darbinieku ļaunprātīga vai neatļauta darbība;
nestandarta piekļuve un mākoņresursu izmantošana;
uc

Ir arī vairāki netipiski ar kiberdrošību nesaistīti izmantošanas gadījumi, piemēram, krāpšana vai darbinieku uzraudzība, par kuriem UEBA var būt pamatota. Tomēr tiem bieži ir nepieciešami datu avoti ārpus IT un informācijas drošības vai īpaši analītiski modeļi ar dziļu izpratni par šo jomu. Tālāk ir aprakstīti pieci galvenie scenāriji un lietojumprogrammas, par kurām vienojas gan UEBA ražotāji, gan viņu klienti.

"Ļaunprātīgs iekšējais"

UEBA risinājumu nodrošinātāji, kas aptver šo scenāriju, uzrauga tikai darbiniekus un uzticamus darbuzņēmējus, lai atklātu neparastu, “sliktu” vai ļaunprātīgu rīcību. Pārdevēji šajā kompetences jomā neuzrauga un neanalizē pakalpojumu kontu vai citu personu, kas nav cilvēki, darbību. Lielākoties šī iemesla dēļ viņi nav vērsti uz progresīvu draudu atklāšanu, kad hakeri pārņem esošos kontus. Tā vietā to mērķis ir identificēt darbiniekus, kas iesaistīti kaitīgās darbībās.

Būtībā jēdziens “ļaunprātīga iekšējā informācija” izriet no uzticamiem lietotājiem ar ļaunprātīgu nolūku, kuri meklē veidus, kā nodarīt kaitējumu savam darba devējam. Tā kā ļaunprātīgu nolūku ir grūti izmērīt, labākie šīs kategorijas piegādātāji analizē kontekstuālās uzvedības datus, kas nav viegli pieejami audita žurnālos.

Risinājumu nodrošinātāji šajā vietā arī optimāli pievieno un analizē nestrukturētus datus, piemēram, e-pasta saturu, produktivitātes pārskatus vai sociālo mediju informāciju, lai nodrošinātu uzvedības kontekstu.

Kompromitēti iekšējās informācijas un uzmācīgi draudi

Izaicinājums ir ātri atklāt un analizēt “sliktu” uzvedību, tiklīdz uzbrucējs ir ieguvis piekļuvi organizācijai un sāk pārvietoties IT infrastruktūrā.
Pārliecinošus draudus (APT), piemēram, nezināmus vai vēl pilnībā neizprotamus draudus, ir ārkārtīgi grūti noteikt, un tie bieži slēpjas aiz likumīgām lietotāju darbībām vai pakalpojumu kontiem. Šādiem draudiem parasti ir sarežģīts darbības modelis (skat., piemēram, rakstu “ Kibernogalināšanas ķēdes risināšana") vai viņu uzvedība vēl nav novērtēta kā kaitīga. Tas apgrūtina to noteikšanu, izmantojot vienkāršu analīzi (piemēram, saskaņošanu pēc modeļiem, sliekšņiem vai korelācijas noteikumiem).

Tomēr daudzi no šiem uzmācīgajiem draudiem izraisa nestandarta uzvedību, bieži vien iesaistot nenojaušus lietotājus vai vienības (pazīstamas arī kā apdraudētas iekšējās personas). UEBA metodes piedāvā vairākas interesantas iespējas atklāt šādus draudus, uzlabot signāla un trokšņa attiecību, konsolidēt un samazināt paziņojumu apjomu, piešķirt prioritāti atlikušajiem brīdinājumiem un veicināt efektīvu incidentu reaģēšanu un izmeklēšanu.

UEBA pārdevējiem, kas mērķēti uz šo problēmu jomu, bieži ir divvirzienu integrācija ar organizācijas SIEM sistēmām.

Datu eksfiltrācija

Uzdevums šajā gadījumā ir atklāt faktu, ka dati tiek pārsūtīti ārpus organizācijas.
Pārdevēji, kas koncentrējas uz šo izaicinājumu, parasti izmanto DLP vai DAG iespējas, izmantojot anomāliju noteikšanu un uzlabotu analīzi, tādējādi uzlabojot signāla un trokšņa attiecību, konsolidējot paziņojumu apjomu un piešķirot prioritāti atlikušajiem aktivizētājiem. Papildu kontekstam pārdevēji parasti vairāk paļaujas uz tīkla trafiku (piemēram, tīmekļa starpniekserveriem) un galapunktu datiem, jo šo datu avotu analīze var palīdzēt datu eksfiltrācijas izmeklēšanā.

Datu eksfiltrācijas noteikšana tiek izmantota, lai notvertu iekšējos un ārējos hakerus, kas apdraud organizāciju.

Priviliģētas piekļuves identificēšana un pārvaldība

Neatkarīgo UEBA risinājumu ražotāji šajā kompetences jomā novēro un analizē lietotāju uzvedību uz jau izveidotas tiesību sistēmas fona, lai identificētu pārmērīgas privilēģijas vai anomālu piekļuvi. Tas attiecas uz visu veidu lietotājiem un kontiem, tostarp priviliģētiem un pakalpojumu kontiem. Organizācijas arī izmanto UEBA, lai atbrīvotos no neaktīviem kontiem un lietotāju privilēģijām, kas ir augstākas nekā nepieciešams.

Starpgadījumu prioritāšu noteikšana

Šī uzdevuma mērķis ir noteikt prioritāti paziņojumiem, ko ģenerē risinājumi to tehnoloģiju steksā, lai saprastu, kuri incidenti vai iespējamie incidenti ir jārisina vispirms. UEBA metodoloģijas un rīki ir noderīgi, lai identificētu incidentus, kas ir īpaši anomāli vai īpaši bīstami konkrētai organizācijai. Šajā gadījumā UEBA mehānisms izmanto ne tikai darbības bāzes un draudu modeļus, bet arī piesātina datus ar informāciju par uzņēmuma organizatorisko struktūru (piemēram, kritiskajiem resursiem vai lomām un darbinieku piekļuves līmeņiem).

UEBA risinājumu ieviešanas problēmas

UEBA risinājumu tirgus sāpe ir to augstā cena, sarežģīta ieviešana, uzturēšana un lietošana. Kamēr uzņēmumi cīnās ar dažādu iekšējo portālu skaitu, viņi iegūst citu konsoli. Laika un resursu ieguldījuma apjoms jaunā rīkā ir atkarīgs no veicamajiem uzdevumiem un to risināšanai nepieciešamajiem analītikas veidiem, un visbiežāk tie prasa lielus ieguldījumus.

Pretēji tam, ko apgalvo daudzi ražotāji, UEBA nav “iestatiet un aizmirstiet” rīks, kas pēc tam var darboties nepārtraukti vairākas dienas.
Gartner klienti, piemēram, atzīmē, ka UEBA iniciatīvas uzsākšana no nulles aizņem no 3 līdz 6 mēnešiem, lai iegūtu pirmos rezultātus to problēmu risināšanā, kurām šis risinājums tika ieviests. Sarežģītākiem uzdevumiem, piemēram, iekšējo apdraudējumu identificēšanai organizācijā, periods palielinās līdz 18 mēnešiem.

Faktori, kas ietekmē UEBA ieviešanas grūtības un rīka turpmāko efektivitāti:

Organizācijas arhitektūras, tīkla topoloģijas un datu pārvaldības politiku sarežģītība
Pareizo datu pieejamība pareizajā detalizācijas līmenī
Pārdevēja analītisko algoritmu sarežģītība, piemēram, statistikas modeļu izmantošana un mašīnmācīšanās pret vienkāršiem modeļiem un noteikumiem.
Iekļauts iepriekš konfigurētās analīzes apjoms, tas ir, ražotāja izpratne par to, kādi dati ir jāapkopo katram uzdevumam un kādi mainīgie un atribūti ir vissvarīgākie analīzes veikšanai.
Cik viegli ražotājam ir automātiski integrēties ar nepieciešamajiem datiem.
Piemēram:
- Ja UEBA risinājums izmanto SIEM sistēmu kā galveno datu avotu, vai SIEM apkopo informāciju no nepieciešamajiem datu avotiem?
- Vai nepieciešamos notikumu žurnālus un organizatoriskā konteksta datus var novirzīt uz UEBA risinājumu?
- Ja SIEM sistēma vēl neapkopo un nekontrolē UEBA risinājumam nepieciešamos datu avotus, tad kā tos tur pārsūtīt?
Cik svarīgs organizācijai ir pieteikuma scenārijs, cik datu avotu tas prasa un cik lielā mērā šis uzdevums pārklājas ar ražotāja kompetences jomu.
Kāda organizācijas brieduma un iesaistīšanās pakāpe ir nepieciešama – piemēram, noteikumu un modeļu izveide, izstrāde un pilnveidošana; mainīgajiem lielumu piešķiršana novērtēšanai; vai pielāgot riska novērtējuma slieksni.
Cik mērogojams ir pārdevēja risinājums un tā arhitektūra, salīdzinot ar pašreizējo organizācijas lielumu un tās nākotnes prasībām.
Laiks izveidot pamata modeļus, profilus un galvenās grupas. Ražotājiem bieži ir vajadzīgas vismaz 30 dienas (un dažreiz pat 90 dienas), lai veiktu analīzi, pirms viņi var definēt "parastos" jēdzienus. Vienreizēja vēsturisko datu ielāde var paātrināt modeļu apmācību. Dažus interesantos gadījumus var identificēt ātrāk, izmantojot noteikumus, nekā izmantojot mašīnmācīšanos ar neticami mazu sākotnējo datu apjomu.
Piepūles līmenis, kas nepieciešams, lai izveidotu dinamisku grupēšanu un kontu profilēšanu (pakalpojums/persona), dažādos risinājumos var ievērojami atšķirties.

Avots: www.habr.com

UEBA tirgus ir miris – lai dzīvo UEBA