ProHoster > Blog > vaovao amin'ny Internet > Maty ny tsenan'ny UEBA - ho ela velona anie ny UEBA

Maty ny tsenan'ny UEBA - ho ela velona anie ny UEBA

Maty ny tsenan'ny UEBA - ho ela velona anie ny UEBA

Androany dia hanome topimaso fohy momba ny tsenan'ny User and Entity Behavioral Analytics (UEBA) mifototra amin'ny farany izahay. Gartner fikarohana. Ny tsenan'ny UEBA dia eo amin'ny faran'ny "dingana fahadisoam-panantenana" araka ny Gartner Hype Cycle for Threat-Facing Technologies, manondro ny fahamatoran'ny teknolojia. Saingy ny fifanoherana amin'ny toe-javatra dia mipetraka amin'ny fitomboan'ny fampiasam-bola amin'ny teknolojia UEBA sy ny tsenan'ny vahaolana UEBA tsy miankina. Gartner dia maminavina fa ny UEBA dia ho lasa ampahany amin'ny fiasan'ny vahaolana momba ny fiarovana ny vaovao. Ny teny hoe "UEBA" dia mety tsy ho ampiasaina intsony ary hosoloina fanafohezan-teny hafa mifantoka amin'ny faritra fampiharana tery kokoa (oh : "fanadihadiana momba ny fitondran-tenan'ny mpampiasa"), faritra fampiharana mitovy amin'izany (oh: "fanadihadiana angona"), na lasa sasany fotsiny. teny filamatra vaovao (ohatra, ny teny hoe "intelligence artificielle" [AI] dia toa mahaliana, na dia tsy misy dikany aza izany amin'ny mpanamboatra UEBA maoderina).

Ny fikarohana fototra avy amin'ny fandalinana Gartner dia azo fintinina toy izao manaraka izao:

  • Ny fahamatoran'ny tsenan'ny fanadihadiana momba ny fitondran-tenan'ny mpampiasa sy ny sampana dia voamarina amin'ny zava-misy fa ireo teknolojia ireo dia ampiasain'ny orinasa antonony sy lehibe mba hamahana olana ara-barotra maromaro;
  • Ny fahaizan'ny analyse UEBA dia natsangana ao anatin'ny teknolojia fiarovana vaovao mifandraika amin'izany, toy ny cloud access security brokers (CASBs), ny fitantanana ny maha-izy azy sy ny fitantanana (IGA) rafitra SIEM;
  • Ny fihoaram-pefy manodidina ny mpivarotra UEBA sy ny fampiasana diso ny teny hoe "fahasalamana artifisialy" dia manasarotra ny mpanjifa hahatakatra ny tena fahasamihafana misy eo amin'ny teknolojian'ny mpanamboatra sy ny fiasan'ny vahaolana nefa tsy manao tetikasa andrana;
  • Ny mpanjifa dia nanamarika fa ny fotoana fampiharana sy ny fampiasana isan'andro ny vahaolana UEBA dia mety ho be asa sy mandany fotoana bebe kokoa noho ny fampanantenan'ny mpanamboatra, na dia tsy mihevitra afa-tsy ny maodely fitiliana fandrahonana fototra. Mety ho sarotra be ny fampidirana trangan-javatra mahazatra na fampiasana sisiny ary mitaky fahaizana amin'ny siansa momba ny angona sy ny analyse.

Tombanana ho fampandrosoana ny tsena stratejika:

  • Amin'ny taona 2021, ny tsenan'ny rafitry ny mpampiasa sy ny enti-manadihady momba ny fitondran-tena (UEBA) dia tsy hisy intsony ho faritra misaraka ary hivadika ho vahaolana hafa miaraka amin'ny fiasa UEBA;
  • Amin'ny taona 2020, ny 95% amin'ny fametrahana UEBA rehetra dia ho tafiditra amin'ny sehatra fiarovana midadasika kokoa.

Famaritana ny vahaolana UEBA

Ny vahaolana UEBA dia mampiasa analyse naorina mba hanombanana ny asan'ny mpampiasa sy ny sampan-draharaha hafa (toy ny mpampiantrano, fampiharana, fifamoivoizana amin'ny tambajotra ary fivarotana data).
Hitan'izy ireo ny fandrahonana sy ny loza mety hitranga, izay maneho hetsika tsy fahita firy raha oharina amin'ny mombamomba sy fitondran-tenan'ireo mpampiasa sy sampan-draharaha amin'ny vondrona mitovy amin'izany mandritra ny fe-potoana iray.

Ny tranga fampiasa mahazatra indrindra amin'ny sehatry ny orinasa dia ny fitadiavana ny fandrahonana sy ny famaliana, ary koa ny fitadiavana sy ny famaliana ny fandrahonana ataon'ny olona ao anatiny (ny ankamaroany dia mpanafika anatiny).

Toy izany ny UEBA FANAPAHAN-KEVITRA, ary asa, namboarina ho fitaovana manokana:

  • Ny vahaolana dia mpanamboatra sehatra UEBA "madio", ao anatin'izany ireo mpivarotra mivarotra vahaolana SIEM misaraka ihany koa. Mifantoka amin'ny olana ara-barotra isan-karazany amin'ny famakafakana ny fihetsiky ny mpampiasa sy ny orinasa.
  • Embedded - Mpanamboatra/fizarana izay mampiditra ny fiasa sy ny teknolojia UEBA amin'ny vahaolana. Matetika mifantoka amin'ny andiana olana ara-barotra manokana. Amin'ity tranga ity, ny UEBA dia ampiasaina hamakafaka ny fihetsiky ny mpampiasa sy/na sampan-draharaha.

Gartner dia mijery ny UEBA miaraka amin'ny famaky telo, ao anatin'izany ny famahana olana, ny fanadihadiana ary ny loharanom-baovao (jereo ny sary).

Maty ny tsenan'ny UEBA - ho ela velona anie ny UEBA

Sehatra UEBA "Madio" mifanohitra amin'ny UEBA namboarina

Gartner dia mihevitra ny sehatra UEBA "madio" ho vahaolana izay:

  • mamaha olana manokana maromaro, toy ny fanaraha-maso ireo mpampiasa manana tombontsoa na ny famoahana angona ivelan'ny fikambanana, fa tsy ny "fanaraha-maso ny asan'ny mpampiasa anomaliana" fotsiny;
  • ampidiro ny fampiasana fanadihadiana sarotra, tsy maintsy mifototra amin'ny fomba famakafakana fototra;
  • manome safidy maro ho an'ny fanangonam-baovao, anisan'izany ny rafitra loharanon'ny angon-drakitra naorina sy avy amin'ny fitaovana fitantanana log, Data lake sy/na rafitra SIEM, tsy misy ilàna tsy maintsy mametraka mpiasa misaraka amin'ny fotodrafitrasa;
  • azo vidiana sy apetraka ho vahaolana tokana fa tsy tafiditra ao
    composition ny vokatra hafa.

Ny tabilao etsy ambany dia mampitaha ireo fomba roa ireo.

Tabilao 1. Vahaolana UEBA "Madio" vs namboarina

Sokajy Sehatra UEBA "Madio". Vahaolana hafa miaraka amin'ny UEBA naorina
Olana hovahana Famakafakana ny fihetsiky ny mpampiasa sy ny enti-manana. Ny tsy fahampian'ny angona dia mety hametra ny UEBA hamakafaka ny fihetsiky ny mpampiasa na sampan-draharaha ihany.
Olana hovahana Miasa hamaha olana maro isan-karazany Manampahaizana manokana amin'ny asa voafetra
Analytics Fikarohana anomaly mampiasa fomba famakafakana isan-karazany - indrindra amin'ny alàlan'ny maodely statistika sy fianarana milina, miaraka amin'ny fitsipika sy sonia. Tonga miaraka amin'ny analyse naorina mba hamoronana sy hampitahana ny asan'ny mpampiasa sy ny orinasa amin'ny mombamomba azy sy ny mpiara-miasa. Mitovy amin'ny UEBA madio, fa ny fanadihadiana dia mety ho voafetra amin'ny mpampiasa sy/na sampan-draharaha ihany.
Analytics Ny fahaiza-manadihady mandroso, tsy voafetran'ny fitsipika ihany. Ohatra, algorithm amin'ny clustering miaraka amin'ny vondron'olona mavitrika. Mitovy amin'ny UEBA "madio", fa ny fivondronan'ny enti-manana amin'ny maodely fandrahonana sasany dia azo ovaina amin'ny tanana ihany.
Analytics Fampifandraisana ny hetsika sy ny fitondran-tenan'ny mpampiasa sy ny sampana hafa (ohatra, ny fampiasana tambajotra Bayesian) ary ny fanangonana ny fitondran-tena mety hampidi-doza ho an'ny tsirairay mba hamantarana ny hetsika tsy mety. Mitovy amin'ny UEBA madio, fa ny fanadihadiana dia mety ho voafetra amin'ny mpampiasa sy/na sampan-draharaha ihany.
Loharano angona Mandray hetsika amin'ny mpampiasa sy sampan-draharaha avy amin'ny loharano angon-drakitra mivantana amin'ny alàlan'ny rafitra naorina na fitehirizana data efa misy, toy ny SIEM na Data lake. Ny mekanika hahazoana angon-drakitra dia matetika mivantana ary misy fiantraikany amin'ny mpampiasa sy/na sampana hafa ihany. Aza mampiasa fitaovana fitantanana log / SIEM / Lake Data.
Loharano angona Ny vahaolana dia tsy tokony hiantehitra fotsiny amin'ny fifamoivoizana amin'ny tambajotra ho loharanon'ny angon-drakitra, ary tsy tokony hiantehitra fotsiny amin'ny masoivohony manokana hanangona telemetry. Ny vahaolana dia tsy afaka mifantoka afa-tsy amin'ny fifamoivoizana amin'ny tambajotra (ohatra, NTA - famakafakana ny fifamoivoizana amin'ny tambajotra) sy/na mampiasa ny mpiasany amin'ny fitaovana farany (ohatra, ny fitaovana fanaraha-maso ny mpiasa).
Loharano angona Mameno ny angona mpampiasa/singa miaraka amin'ny contexte. Manohana ny fanangonana hetsika voarafitra amin'ny fotoana tena izy, ary koa angon-drakitra mirindra/tsy voarindra avy amin'ny lahatahiry IT - ohatra, Active Directory (AD), na loharanom-baovao hafa azo vakiana amin'ny milina (ohatra, angon-drakitra HR). Mitovy amin'ny UEBA madio, saingy mety tsy hitovy ny sahan'ny angon-drakitra mifandraika amin'ny tranga tsirairay. AD sy LDAP no fitahirizana angon-drakitra mahazatra indrindra ampiasain'ny vahaolana UEBA tafiditra.
fisian'ny Manome ireo endri-javatra voatanisa ho vokatra tokana. Tsy azo atao ny mividy fampiasa UEBA naorina raha tsy mividy vahaolana ivelany izay nananganana azy.
Loharano: Gartner (Mey 2019)

Noho izany, mba hamahana olana sasany, ny UEBA tafiditra dia afaka mampiasa analyse UEBA fototra (ohatra, fianarana milina tsotra tsy misy fanaraha-maso), fa miaraka amin'izay koa, noho ny fidirana amin'ny angona ilaina, dia mety hahomby kokoa noho ny "madio" amin'ny ankapobeny. vahaolana UEBA. Mandritra izany fotoana izany, ny sehatra UEBA "madio", araka ny efa nampoizina, dia manolotra famakafakana sarotra kokoa ho toy ny fahalalana fototra raha oharina amin'ny fitaovana UEBA naorina. Ireo vokatra ireo dia fintinina ao amin'ny tabilao 2.

Tabilao 2. Ny vokatry ny fahasamihafan'ny "madio" sy ny UEBA naorina

Sokajy Sehatra UEBA "Madio". Vahaolana hafa miaraka amin'ny UEBA naorina
Analytics Ny fampiharana amin'ny famahana olana isan-karazany amin'ny raharaham-barotra dia midika fa misy andiana asa UEBA manerana izao rehetra izao miaraka amin'ny fanamafisana ny famakafakana sarotra kokoa sy ny maodely fianarana milina. Ny fifantohana amin'ny olan'ny fandraharahana kely kokoa dia midika endri-javatra manokana izay mifantoka amin'ny modely manokana amin'ny fampiharana miaraka amin'ny lojika tsotra kokoa.
Analytics Ilaina ny fanamboarana ny maodely analytique ho an'ny sehatra fampiharana tsirairay. Ny maodely analytique dia efa namboarina mialoha ho an'ny fitaovana misy UEBA ao anatiny. Ny fitaovana miaraka amin'ny UEBA ao anatiny amin'ny ankapobeny dia mahatratra vokatra haingana kokoa amin'ny famahana olana ara-barotra sasany.
Loharano angona Fidirana amin'ny loharanom-baovao avy amin'ny lafiny rehetra amin'ny fotodrafitrasa orinasa. Vitsy kokoa ny loharanom-baovao, matetika voafetra amin'ny fisian'ny mpiasan'izy ireo na ny fitaovana miaraka amin'ny fiasa UEBA.
Loharano angona Ny fampahalalana voarakitra ao amin'ny diary tsirairay dia mety ho feran'ny loharano angona ary mety tsy ahitana ny angona ilaina rehetra ho an'ny fitaovana UEBA foibe. Ny habetsahana sy ny antsipirihan'ny angona manta nangonin'ny mpandraharaha ary ampitaina amin'ny UEBA dia azo amboarina manokana.
maritrano Izy io dia vokatra UEBA feno ho an'ny fikambanana iray. Ny fampidirana dia mora kokoa amin'ny fampiasana ny fahaizan'ny rafitra SIEM na ny farihy Data. Mitaky andiana endri-javatra UEBA mitokana ho an'ny vahaolana tsirairay izay manana UEBA ao anatiny. Ny vahaolana UEBA voapetaka matetika dia mitaky fametrahana mpiasa sy fitantanana angona.
Integration Fampidirana amin'ny tanana ny vahaolana UEBA miaraka amin'ny fitaovana hafa isaky ny tranga. Avelao ny fikambanana iray hanorina ny teknolojia mifototra amin'ny fomba "tsara indrindra amin'ny analogues". Ny fonosana lehibe amin'ny fiasa UEBA dia efa tafiditra ao anatin'ilay fitaovana ataon'ny mpanamboatra. Ny maody UEBA dia naorina ary tsy azo esorina, noho izany dia tsy afaka manolo azy amin'ny zavatra ho azy ny mpanjifa.
Loharano: Gartner (Mey 2019)

UEBA ho asa

Ny UEBA dia lasa singa iray amin'ny vahaolana amin'ny cybersecurity farany amin'ny farany izay afaka mandray soa avy amin'ny fanadihadiana fanampiny. Ny UEBA no fototry ireo vahaolana ireo, manome soso-kevitra mahery vaika amin'ny famakafakana avo lenta mifototra amin'ny fomba fitondran'ny mpampiasa sy/na orinasa.

Eny an-tsena amin'izao fotoana izao, ny fampiasa UEBA naorina dia ampiharina amin'ireto vahaolana manaraka ireto, navondrona amin'ny sehatry ny teknolojia:

  • Fanamarinana sy fiarovana mifototra amin'ny angona, dia mpivarotra mifantoka amin'ny fanatsarana ny fiarovana ny fitahirizana angon-drakitra voarafitra sy tsy voarindra (aka DCAP).

    Amin'ity sokajy mpivarotra ity, Gartner dia nanamarika, ankoatra ny zavatra hafa, Varonis cybersecurity platform.

  • Ny rafitra CASB, manolotra fiarovana amin'ny fandrahonana isan-karazany amin'ny rindranasa SaaS mifototra amin'ny rahona amin'ny fanakanana ny fidirana amin'ny serivisy rahona ho an'ny fitaovana tsy ilaina, ny mpampiasa ary ny dika fampiharana amin'ny fampiasana rafitra fanaraha-maso ny fidirana adaptatera.

    Ny vahaolana CASB rehetra mitarika tsena dia misy ny fahaiza-manao UEBA.

  • vahaolana DLP - mifantoka amin'ny fitadiavana ny famindrana angon-drakitra mitsikera ivelan'ny fikambanana na ny fanararaotana azy.

    Ny fandrosoan'ny DLP dia mifototra indrindra amin'ny fahatakarana votoaty, ary tsy dia mifantoka loatra amin'ny fahatakarana ny toe-javatra toy ny mpampiasa, ny fampiharana, ny toerana, ny fotoana, ny hafainganan'ny zava-mitranga ary ny anton-javatra ivelany hafa. Mba hahomby, ny vokatra DLP dia tsy maintsy mahafantatra ny atiny sy ny teny manodidina. Izany no mahatonga ny mpanamboatra maro manomboka mampiditra ny fiasa UEBA amin'ny vahaolana.

  • Fanaraha-maso ny mpiasa dia ny fahafahana mirakitra sy mamerina ny hetsika ataon'ny mpiasa, matetika amin'ny endrika angon-drakitra mety amin'ny fitsarana (raha ilaina).

    Ny fanaraha-maso tsy tapaka ireo mpampiasa matetika dia miteraka angon-drakitra be dia be izay mitaky fanivanana tanana sy famakafakana olombelona. Noho izany, ny UEBA dia ampiasaina ao anatin'ny rafitra fanaraha-maso mba hanatsarana ny fahombiazan'ireo vahaolana ireo ary tsy hahitana afa-tsy tranga mampidi-doza.

  • Fiarovana Endpoint - Ny vahaolana momba ny fikarohana sy ny valinteny (EDR) ary ny sehatra fiarovana amin'ny endpoint (EPP) dia manome fitaovana mahery vaika sy telemetry rafitra miasa
    fitaovana farany.

    Ny telemetry mifandraika amin'ny mpampiasa toy izany dia azo anaovana fanadihadiana mba hanomezana fiasa UEBA naorina.

  • Fisolokiana an-tserasera - Ny vahaolana amin'ny fisavana hosoka amin'ny Internet dia mahita hetsika mivilivily izay manondro marimaritra iraisana amin'ny kaontin'ny mpanjifa amin'ny alàlan'ny fandokoana, malware, na fanararaotana fifandraisana tsy azo antoka / fisakanana fifamoivoizana amin'ny navigateur.

    Ny ankamaroan'ny vahaolana amin'ny hosoka dia mampiasa ny fototry ny UEBA, ny famakafakana ny fifanakalozana ary ny fandrefesana ny fitaovana, miaraka amin'ireo rafitra mandroso kokoa mameno azy ireo amin'ny alàlan'ny fampitoviana fifandraisana ao amin'ny angon-drakitra momba ny maha-izy azy.

  • IAM sy ny fanaraha-maso ny fidirana - Gartner dia nanamarika fironana evolisiona eo amin'ireo mpivarotra rafitra fanaraha-maso ny fidirana mba hampidirana amin'ireo mpivarotra madio sy hanorina fampiasa UEBA sasany amin'ny vokatra.
  • IAM sy rafitra fitantanana sy fitantanana (IGA). Ampiasao ny UEBA mba handrakofana ireo toe-javatra momba ny fanadihadiana momba ny fitondran-tena sy ny maha-izy azy toy ny fitadiavana anomaly, ny famakafakana vondrona mavitrika amin'ny sampana mitovy, ny famakafakana ny fidirana, ary ny famakafakana ny politika.
  • IAM sy Privilege Access Management (PAM) - Noho ny andraikitry ny fanaraha-maso ny fampiasana ny kaonty administratif, ny vahaolana PAM dia manana telemetry mampiseho ny fomba, ny antony, ny fotoana ary ny toerana nampiasana ny kaonty administratif. Ity angona ity dia azo dinihina amin'ny fampiasana ny fampiasa ao amin'ny UEBA noho ny fisian'ny fitondran-tena tsy mety ataon'ny mpitantana na ny fikasana ratsy.
  • Manufacturers NTA (Network Traffic Analysis) - Mampiasà fitambaran'ny fianarana milina, famakafakana mandroso ary fanaraha-maso mifototra amin'ny fitsipika hamantarana hetsika mampiahiahy amin'ny tambajotran'ny orinasa.

    Ny fitaovana NTA dia mamakafaka hatrany ny fifamoivoizana loharano sy/na ny firaketana an-tsoratra (oh: NetFlow) mba hananganana modely izay maneho ny fitondran-tena mahazatra amin'ny tambajotra, mifantoka indrindra amin'ny famakafakana ny fitondran-tenan'ny orinasa.

  • siem – Maro amin'ireo mpivarotra SIEM no manana fampiasa famakafakana angon-drakitra mandroso ao amin'ny SIEM, na ho modely UEBA misaraka. Nandritra ny taona 2018 sy hatramin'izao tamin'ny 2019, dia nisy ny fanjavozavo tsy an-kijanona ny sisintany misy eo amin'ny fiasa SIEM sy UEBA, araka ny noresahina tao amin'ny lahatsoratra. "Fahitana teknolojia ho an'ny SIEM maoderina". Ny rafitra SIEM dia lasa tsara kokoa amin'ny fiaraha-miasa amin'ny analytics ary manolotra sehatra fampiharana sarotra kokoa.

UEBA Application Scenario

Ny vahaolana UEBA dia afaka mamaha olana isan-karazany. Na izany aza, manaiky ny mpanjifa Gartner fa ny tranga fampiasana voalohany dia ahitana ny fitadiavana sokajy isan-karazany amin'ny fandrahonana, azo amin'ny alalan'ny fampisehoana sy ny famakafakana ny fifandraisana matetika eo amin'ny fitondran-tenan'ny mpampiasa sy ny fikambanana hafa:

  • fidirana tsy nahazoana alalana sy fivezivezena ny angona;
  • fihetsika mampiahiahy ataon'ireo mpampiasa manana tombontsoa, ​​asa ratsy na tsy nahazoana alalana ataon'ny mpiasa;
  • fidirana tsy manara-penitra sy fampiasana loharanon-karena rahona;
  • ary ny hafa.

Misy ihany koa ny tranga tsy fahita firy amin'ny fampiasana tsy fiarovana amin'ny cyber, toy ny hosoka na ny fanaraha-maso ny mpiasa, izay mety hamarinin'ny UEBA. Na izany aza, matetika izy ireo no mitaky loharanom-baovao ivelan'ny IT sy ny fiarovana ny fampahalalam-baovao, na modely famakafakana manokana manana fahatakarana lalina momba an'io faritra io. Ireo sehatra dimy lehibe sy fampiharana izay ifanarahan'ny mpanamboatra UEBA sy ny mpanjifany dia voalaza etsy ambany.

"Malicious Insider"

Ny mpanome vahaolana UEBA izay mirakitra an'io toe-javatra io dia manara-maso ny mpiasa sy ny mpiantoka azo itokisana amin'ny fitondran-tena tsy mahazatra, "ratsy", na ratsy. Ny mpivarotra amin'ity sehatra manam-pahaizana ity dia tsy manara-maso na manadihady ny fitondran-tenan'ny kaontin'ny serivisy na sampana hafa tsy olombelona. Amin'ny ankapobeny dia tsy mifantoka amin'ny fitadiavana ireo fandrahonana mandroso izay alain'ireo mpijirika ny kaonty efa misy izy ireo. Izy ireo kosa dia mikendry ny hamantatra ireo mpiasa voarohirohy amin'ny asa manimba.

Amin'ny ankapobeny, ny foto-kevitry ny “mpikatroka maloto” dia avy amin'ireo mpampiasa azo itokisana manana fikasana ratsy izay mitady fomba hanimba ny mpampiasa azy. Satria sarotra refesina ny fikasan-dratsy, ny mpivarotra tsara indrindra amin'ity sokajy ity dia mamakafaka ny angona momba ny fitondran-tena eo amin'ny sehatra izay tsy mora hita ao amin'ny diarin'ny fanaraha-maso.

Ireo mpamatsy vahaolana amin'ity habaka ity dia manampy sy mamakafaka tsara ny angona tsy voarafitra, toy ny votoaty mailaka, tatitra momba ny vokatra, na fampahalalana amin'ny media sosialy, mba hanomezana teny manodidina ny fitondran-tena.

Fandrahonana anatiny sy fandrahonana mikorontana

Ny fanamby dia ny mamantatra haingana sy mamakafaka ny fitondran-tena "ratsy" rehefa nahazo ny fidirana amin'ny fikambanana ny mpanafika ary manomboka mihetsika ao anatin'ny fotodrafitrasa IT.
Ny fandrahonana assertive (APT), toy ny fandrahonana tsy fantatra na mbola tsy takatry ny saina, dia tena sarotra fantarina ary matetika miafina ao ambadiky ny asan'ny mpampiasa na kaonty serivisy. Ny fandrahonana toy izany dia matetika manana modely fiasa sarotra (jereo, ohatra, ny lahatsoratra " Miresaka amin'ny Cyber ​​​​Kill Chain") na ny fitondran-tenany dia tsy mbola noheverina ho mampidi-doza. Izany dia mahatonga azy ireo ho sarotra amin'ny fampiasana analyse tsotra (toy ny fampifanarahana amin'ny lamina, tokonam-baravarana, na fitsipika mifandraika).

Na izany aza, maro amin'ireo fandrahonana manetriketrika ireo no miteraka fitondran-tena tsy manara-penitra, izay matetika mahatafiditra mpampiasa na sampan-draharaha tsy miahiahy (aka mpanelanelana anatiny). Ny teknikan'ny UEBA dia manolotra fahafahana mahaliana maro hamantarana ny fandrahonana toy izany, hanatsara ny tahan'ny signal-to-noise, hanamafisana sy hampihenana ny habetsaky ny fampahafantarana, hanao laharam-pahamehana ny fampandrenesana sisa, ary hanamora ny famaliana sy fanadihadiana mahomby.

Ireo mpivarotra UEBA mikendry ity faritra misy olana ity dia matetika manana fifandraisana roa amin'ny rafitra SIEM an'ny fikambanana.

Data Exfiltration

Ny asa amin'ity tranga ity dia ny mamantatra ny zava-misy fa ny angon-drakitra dia nafindra tany ivelan'ny fikambanana.
Ireo mpivarotra nifantoka tamin'ity fanamby ity dia mazàna mampiasa ny DLP na DAG amin'ny alàlan'ny fizahana ny anomaly sy ny fanadihadiana mandroso, ka manatsara ny tahan'ny signal-to-noise, manamafy ny habetsaky ny fampahafantarana ary manao laharam-pahamehana ireo trigger sisa. Ho an'ny toe-javatra fanampiny, ny mpivarotra matetika dia miantehitra bebe kokoa amin'ny fifamoivoizana amin'ny tambajotra (toy ny proxy amin'ny Internet) sy ny angona farany, satria ny famakafakana ireo loharanom-baovao ireo dia afaka manampy amin'ny fanadihadian'ny fitrandrahana angon-drakitra.

Ny fanindrahindrana ny data exfiltration dia ampiasaina hisambotra ireo olona ao anatiny sy ireo mpijirika ivelany mandrahona ny fikambanana.

Famantarana sy fitantanana ny fidirana manokana

Ny mpanamboatra vahaolana UEBA mahaleo tena amin'ity sehatra manam-pahaizana ity dia mandinika sy mandinika ny fihetsiky ny mpampiasa manoloana ny rafitry ny zo efa voaforona mba hamantarana ny tombontsoa tafahoatra na ny fidirana an-tsokosoko. Izany dia mihatra amin'ny karazana mpampiasa sy kaonty rehetra, ao anatin'izany ny kaonty manana tombontsoa sy serivisy. Mampiasa UEBA ihany koa ny fikambanana mba hanesorana ny kaonty matory sy ny tombontsoan'ny mpampiasa izay ambony noho ny takina.

Laharam-pahamehana ny tranga

Ny tanjon'ity asa ity dia ny mametraka laharam-pahamehana ny fampandrenesana vokarin'ny vahaolana ao amin'ny fitambaran'ny teknolojia mba hahatakarana izay tranga na tranga mety hitranga aloha. Ny fomba fiasa sy ny fitaovana UEBA dia ilaina amin'ny famantarana ireo tranga izay tsy mety na mampidi-doza indrindra ho an'ny fikambanana iray. Amin'ity tranga ity, ny mekanika UEBA dia tsy mampiasa fotsiny ny haavon'ny hetsika sy ny maodely fandrahonana, fa mameno ny angon-drakitra amin'ny fampahalalana momba ny firafitry ny orinasa (ohatra, loharano na andraikitra manan-danja ary haavon'ny fidirana amin'ny mpiasa).

Olana amin'ny fampiharana ny vahaolana UEBA

Ny fanaintainan'ny tsenan'ny vahaolana UEBA dia ny vidiny lafo, ny fampiharana sarotra, ny fikojakojana ary ny fampiasana azy. Na dia sahirana amin'ny isan'ny vavahadin-tserasera isan-karazany aza ny orinasa, dia mahazo console hafa izy ireo. Ny haben'ny fampiasam-bola ny fotoana sy ny loharanon-karena amin'ny fitaovana vaovao dia miankina amin'ny asa eo am-pelatanana sy ny karazana analyse ilaina hamahana azy ireo, ary matetika mitaky fampiasam-bola lehibe.

Mifanohitra amin'ny lazain'ny mpanamboatra maro, ny UEBA dia tsy fitaovana "mametraka azy ary manadino azy" izay afaka mandeha tsy tapaka mandritra ny andro maromaro.
Ireo mpanjifan'i Gartner, ohatra, dia manamarika fa mila 3 ka hatramin'ny 6 volana ny fanombohana ny hetsika UEBA hatramin'ny voalohany mba hahazoana ny vokatra voalohany amin'ny famahana ireo olana nampiharana ity vahaolana ity. Ho an'ny asa sarotra kokoa, toy ny famantarana ny fandrahonana ao anatin'ny fikambanana iray, dia mitombo ho 18 volana ny fe-potoana.

Antony misy fiantraikany amin'ny fahasarotan'ny fampiharana ny UEBA sy ny fahombiazan'ny fitaovana ho avy:

  • Ny fahasarotan'ny rafitry ny fikambanana, ny topolojian'ny tambajotra ary ny politikan'ny fitantanana angona
  • Ny fisian'ny angon-drakitra mety amin'ny haavon'ny antsipiriany
  • Ny fahasarotan'ny algorithm analyse an'ny mpivarotra—ohatra, ny fampiasana maodely statistika sy fianarana milina mifanohitra amin'ny lamina sy fitsipika tsotra.
  • Ny habetsan'ny analyse efa voarindra efa tafiditra — izany hoe, ny fahatakaran'ny mpanamboatra ny angon-drakitra tokony angonina ho an'ny asa tsirairay sy ny fari-pahalalana sy toetra manan-danja indrindra hanaovana ny fanadihadiana.
  • Tena mora ho an'ny mpanamboatra ny mampiditra ho azy amin'ny angona ilaina.

    Ohatra:

    • Raha mampiasa rafitra SIEM ny vahaolana UEBA ho loharanon'ny angonany, moa ve ny SIEM dia manangona vaovao avy amin'ireo loharanom-baovao ilaina?
    • Afaka alefa any amin'ny vahaolana UEBA ve ny diarin'ny hetsika sy ny angon-drakitra momba ny fandaminana?
    • Raha toa ka tsy mbola manangona sy manara-maso ny loharanon-kevitra ilain'ny vahaolana UEBA ny rafitra SIEM, ahoana no hamindrana azy ireo any?

  • Ny maha-zava-dehibe ny scenario fampiharana ho an'ny fikambanana, firy ny loharano angon-drakitra ilaina, ary ohatrinona no mifanipaka amin'ny sehatry ny fahaizan'ny mpanamboatra io asa io.
  • Inona ny haavon'ny fahamatorana sy ny fandraisana anjara amin'ny fandaminana ilaina - ohatra, ny famoronana, ny fampandrosoana ary ny fanatsarana ny fitsipika sy ny modely; manendry lanja ho an'ny fari-piainana ho an'ny fanombanana; na fanitsiana ny fe-potoana fanombanana ny risika.
  • Manao scalable ny vahaolana ataon'ny mpivarotra sy ny maritranony raha oharina amin'ny haben'ny fikambanana amin'izao fotoana izao sy ny fitakiana ho avy.
  • Fotoana hananganana modely fototra, mombamomba ary vondrona fototra. Matetika ny mpanamboatra dia mitaky 30 andro farafahakeliny (ary indraindray hatramin'ny 90 andro) hanaovana fanadihadiana vao afaka mamaritra ny foto-kevitra "ara-dalàna". Ny fandefasana angona ara-tantara indray mandeha dia afaka manafaingana ny fanofanana modely. Ny sasany amin'ireo tranga mahaliana dia azo fantarina haingana kokoa amin'ny fampiasana fitsipika noho ny fampiasana fianarana milina miaraka amin'ny angon-drakitra voalohany tsy dia mampino.
  • Ny haavon'ny ezaka ilaina amin'ny fananganana vondrona mavitrika sy ny mombamomba ny kaonty (serivisy/olona) dia mety miovaova be eo amin'ny vahaolana.

Source: www.habr.com

Add a comment