ProHoster > Blog > berita internet > Pasaran UEBA sudah mati - hidup UEBA

Pasaran UEBA sudah mati - hidup UEBA

Pasaran UEBA sudah mati - hidup UEBA

Hari ini kami akan memberikan gambaran ringkas tentang pasaran Analitis Tingkah Laku Pengguna dan Entiti (UEBA) berdasarkan Penyelidikan Gartner. Pasaran UEBA berada di bahagian bawah "peringkat kekecewaan" menurut Gartner Hype Cycle for Threat-Facing Technologies, yang menunjukkan kematangan teknologi. Tetapi paradoks situasi ini terletak pada pertumbuhan umum serentak pelaburan dalam teknologi UEBA dan pasaran penyelesaian UEBA bebas yang semakin hilang. Gartner meramalkan bahawa UEBA akan menjadi sebahagian daripada fungsi penyelesaian keselamatan maklumat yang berkaitan. Istilah "UEBA" berkemungkinan tidak akan digunakan lagi dan digantikan dengan akronim lain yang memfokuskan pada kawasan aplikasi yang lebih sempit (cth., "analitik tingkah laku pengguna"), kawasan aplikasi yang serupa (cth., "analitik data"), atau hanya menjadi beberapa kata kunci baharu (contohnya, istilah "kecerdasan buatan" [AI] kelihatan menarik, walaupun ia tidak masuk akal bagi pengeluar UEBA moden).

Penemuan utama daripada kajian Gartner boleh diringkaskan seperti berikut:

  • Kematangan pasaran untuk analisis tingkah laku pengguna dan entiti disahkan oleh fakta bahawa teknologi ini digunakan oleh segmen korporat sederhana dan besar untuk menyelesaikan beberapa masalah perniagaan;
  • Keupayaan analitik UEBA dibina dalam rangkaian luas teknologi keselamatan maklumat yang berkaitan, seperti broker keselamatan akses awan (CASB), sistem SIEM tadbir urus identiti dan pentadbiran (IGA);
  • Gembar-gembur mengenai vendor UEBA dan penggunaan istilah "kecerdasan buatan" yang salah menyukarkan pelanggan untuk memahami perbezaan sebenar antara teknologi pengeluar dan kefungsian penyelesaian tanpa menjalankan projek perintis;
  • Pelanggan ambil perhatian bahawa masa pelaksanaan dan penggunaan sehari-hari penyelesaian UEBA boleh menjadi lebih intensif buruh dan memakan masa daripada yang dijanjikan pengeluar, walaupun hanya mempertimbangkan model pengesanan ancaman asas. Menambah kes penggunaan tersuai atau kelebihan boleh menjadi sangat sukar dan memerlukan kepakaran dalam sains data dan analitis.

Ramalan pembangunan pasaran strategik:

  • Menjelang 2021, pasaran untuk sistem analisis tingkah laku pengguna dan entiti (UEBA) akan tidak lagi wujud sebagai kawasan yang berasingan dan akan beralih ke arah penyelesaian lain dengan fungsi UEBA;
  • Menjelang 2020, 95% daripada semua penggunaan UEBA akan menjadi sebahagian daripada platform keselamatan yang lebih luas.

Definisi penyelesaian UEBA

Penyelesaian UEBA menggunakan analitis terbina dalam untuk menilai aktiviti pengguna dan entiti lain (seperti hos, aplikasi, trafik rangkaian dan stor data).
Mereka mengesan ancaman dan kemungkinan insiden, biasanya mewakili aktiviti anomali berbanding profil standard dan tingkah laku pengguna dan entiti dalam kumpulan yang serupa dalam satu tempoh masa.

Kes penggunaan yang paling biasa dalam segmen perusahaan ialah pengesanan dan tindak balas ancaman, serta pengesanan dan tindak balas kepada ancaman orang dalam (kebanyakannya orang dalam terjejas; kadangkala penyerang dalaman).

UEBA adalah seperti keputusanDan fungsi, dibina ke dalam alat khusus:

  • Penyelesaiannya ialah pengeluar platform UEBA "tulen", termasuk vendor yang turut menjual penyelesaian SIEM secara berasingan. Memberi tumpuan kepada pelbagai masalah perniagaan dalam analisis tingkah laku pengguna dan entiti.
  • Terbenam – Pengeluar/bahagian yang mengintegrasikan fungsi dan teknologi UEBA ke dalam penyelesaian mereka. Biasanya tertumpu pada set masalah perniagaan yang lebih khusus. Dalam kes ini, UEBA digunakan untuk menganalisis gelagat pengguna dan/atau entiti.

Gartner melihat UEBA sepanjang tiga paksi, termasuk penyelesai masalah, analitik dan sumber data (lihat rajah).

Pasaran UEBA sudah mati - hidup UEBA

Platform UEBA "Tulen" berbanding UEBA terbina dalam

Gartner menganggap platform UEBA "tulen" sebagai penyelesaian yang:

  • menyelesaikan beberapa masalah khusus, seperti memantau pengguna istimewa atau mengeluarkan data di luar organisasi, dan bukan hanya "pemantauan aktiviti pengguna anomali" abstrak;
  • melibatkan penggunaan analisis yang kompleks, semestinya berdasarkan pendekatan analisis asas;
  • menyediakan beberapa pilihan untuk pengumpulan data, termasuk kedua-dua mekanisme sumber data terbina dalam dan daripada alatan pengurusan log, Data lake dan/atau sistem SIEM, tanpa keperluan mandatori untuk menggunakan ejen berasingan dalam infrastruktur;
  • boleh dibeli dan digunakan sebagai penyelesaian yang berdiri sendiri dan bukannya dimasukkan ke dalam
    komposisi produk lain.

Jadual di bawah membandingkan kedua-dua pendekatan.

Jadual 1. Penyelesaian UEBA “Tulen” berbanding penyelesaian terbina dalam

Kategori Platform UEBA "Tulen". Penyelesaian lain dengan UEBA terbina dalam
Masalah yang perlu diselesaikan Analisis tingkah laku dan entiti pengguna. Kekurangan data mungkin mengehadkan UEBA untuk menganalisis gelagat pengguna atau entiti sahaja.
Masalah yang perlu diselesaikan Berfungsi untuk menyelesaikan pelbagai masalah Pakar dalam set tugasan terhad
Analytics Pengesanan anomali menggunakan pelbagai kaedah analisis - terutamanya melalui model statistik dan pembelajaran mesin, bersama dengan peraturan dan tandatangan. Didatangkan dengan analitis terbina dalam untuk mencipta dan membandingkan aktiviti pengguna dan entiti dengan profil mereka dan rakan sekerja. Sama seperti UEBA tulen, tetapi analisis boleh dihadkan kepada pengguna dan/atau entiti sahaja.
Analytics Keupayaan analisis lanjutan, tidak terhad hanya oleh peraturan. Sebagai contoh, algoritma pengelompokan dengan pengelompokan dinamik entiti. Sama seperti UEBA "tulen", tetapi kumpulan entiti dalam beberapa model ancaman terbenam hanya boleh ditukar secara manual.
Analytics Korelasi aktiviti dan tingkah laku pengguna dan entiti lain (contohnya, menggunakan rangkaian Bayesian) dan pengagregatan tingkah laku risiko individu untuk mengenal pasti aktiviti anomali. Sama seperti UEBA tulen, tetapi analisis boleh dihadkan kepada pengguna dan/atau entiti sahaja.
Sumber data Menerima peristiwa pada pengguna dan entiti daripada sumber data secara langsung melalui mekanisme terbina dalam atau stor data sedia ada, seperti SIEM atau Data lake. Mekanisme untuk mendapatkan data biasanya hanya secara langsung dan hanya mempengaruhi pengguna dan/atau entiti lain. Jangan gunakan alat pengurusan log / SIEM / Tasik data.
Sumber data Penyelesaian itu bukan sahaja harus bergantung pada trafik rangkaian sebagai sumber utama data, dan juga tidak harus bergantung semata-mata pada ejennya sendiri untuk mengumpul telemetri. Penyelesaian itu hanya boleh memfokuskan pada trafik rangkaian (contohnya, NTA - analisis trafik rangkaian) dan/atau menggunakan ejennya pada peranti akhir (contohnya, utiliti pemantauan pekerja).
Sumber data Memenuhi data pengguna/entiti dengan konteks. Menyokong pengumpulan peristiwa berstruktur dalam masa nyata, serta data koheren berstruktur/tidak berstruktur daripada direktori IT - contohnya, Active Directory (AD) atau sumber maklumat lain yang boleh dibaca mesin (contohnya, pangkalan data HR). Serupa dengan UEBA tulen, tetapi skop data kontekstual mungkin berbeza dari kes ke kes. AD dan LDAP ialah stor data kontekstual yang paling biasa digunakan oleh penyelesaian UEBA terbenam.
Ketersediaan Menyediakan ciri yang disenaraikan sebagai produk kendiri. Adalah mustahil untuk membeli fungsi UEBA terbina dalam tanpa membeli penyelesaian luaran di mana ia dibina.
Sumber: Gartner (Mei 2019)

Oleh itu, untuk menyelesaikan masalah tertentu, UEBA terbenam boleh menggunakan analisis UEBA asas (contohnya, pembelajaran mesin mudah tanpa pengawasan), tetapi pada masa yang sama, disebabkan akses kepada data yang diperlukan, ia boleh menjadi lebih berkesan secara keseluruhan daripada "tulen" penyelesaian UEBA. Pada masa yang sama, platform UEBA "tulen", seperti yang dijangka, menawarkan analisis yang lebih kompleks sebagai pengetahuan utama berbanding dengan alat UEBA terbina dalam. Keputusan ini diringkaskan dalam Jadual 2.

Jadual 2. Keputusan perbezaan antara UEBA “tulen” dan terbina dalam

Kategori Platform UEBA "Tulen". Penyelesaian lain dengan UEBA terbina dalam
Analytics Kebolehgunaan untuk menyelesaikan pelbagai masalah perniagaan membayangkan set fungsi UEBA yang lebih universal dengan penekanan pada model analisis dan pembelajaran mesin yang lebih kompleks. Memfokuskan pada set masalah perniagaan yang lebih kecil bermakna ciri yang sangat khusus yang menumpukan pada model khusus aplikasi dengan logik yang lebih mudah.
Analytics Penyesuaian model analisis adalah perlu untuk setiap senario aplikasi. Model analitik telah diprakonfigurasikan untuk alat yang mempunyai UEBA terbina ke dalamnya. Alat dengan UEBA terbina dalam biasanya mencapai hasil yang lebih pantas dalam menyelesaikan masalah perniagaan tertentu.
Sumber data Akses kepada sumber data dari semua sudut infrastruktur korporat. Sumber data yang lebih sedikit, biasanya dihadkan oleh ketersediaan ejen untuk mereka atau alat itu sendiri dengan fungsi UEBA.
Sumber data Maklumat yang terkandung dalam setiap log mungkin dihadkan oleh sumber data dan mungkin tidak mengandungi semua data yang diperlukan untuk alat UEBA terpusat. Jumlah dan butiran data mentah yang dikumpul oleh ejen dan dihantar ke UEBA boleh dikonfigurasikan secara khusus.
seni bina Ia adalah produk UEBA yang lengkap untuk sesebuah organisasi. Penyepaduan lebih mudah menggunakan keupayaan sistem SIEM atau tasik Data. Memerlukan set ciri UEBA yang berasingan untuk setiap penyelesaian yang mempunyai UEBA terbina dalam. Penyelesaian UEBA terbenam selalunya memerlukan pemasangan ejen dan mengurus data.
Integrasi Penyepaduan manual penyelesaian UEBA dengan alat lain dalam setiap kes. Membenarkan organisasi membina susunan teknologinya berdasarkan pendekatan "terbaik antara analog". Himpunan utama fungsi UEBA sudah disertakan dalam alat itu sendiri oleh pengeluar. Modul UEBA terbina dalam dan tidak boleh dialih keluar, jadi pelanggan tidak boleh menggantikannya dengan sesuatu yang tersendiri.
Sumber: Gartner (Mei 2019)

UEBA sebagai fungsi

UEBA menjadi ciri penyelesaian keselamatan siber hujung ke hujung yang boleh mendapat manfaat daripada analitik tambahan. UEBA mendasari penyelesaian ini, menyediakan lapisan analitik lanjutan yang berkuasa berdasarkan corak tingkah laku pengguna dan/atau entiti.

Pada masa ini di pasaran, fungsi UEBA terbina dalam dilaksanakan dalam penyelesaian berikut, dikumpulkan mengikut skop teknologi:

  • Audit dan perlindungan tertumpu kepada data, ialah vendor yang menumpukan pada meningkatkan keselamatan storan data berstruktur dan tidak berstruktur (aka DCAP).

    Dalam kategori vendor ini, Gartner menyatakan, antara lain, Platform keselamatan siber Varonis, yang menawarkan analisis tingkah laku pengguna untuk memantau perubahan dalam kebenaran data tidak berstruktur, akses dan penggunaan merentas kedai maklumat yang berbeza.

  • sistem CASB, menawarkan perlindungan terhadap pelbagai ancaman dalam aplikasi SaaS berasaskan awan dengan menyekat akses kepada perkhidmatan awan untuk peranti, pengguna dan versi aplikasi yang tidak diingini menggunakan sistem kawalan akses adaptif.

    Semua penyelesaian CASB peneraju pasaran termasuk keupayaan UEBA.

  • Penyelesaian DLP – menumpukan pada mengesan pemindahan data kritikal di luar organisasi atau penyalahgunaannya.

    Kemajuan DLP sebahagian besarnya berdasarkan pemahaman kandungan, dengan kurang fokus pada pemahaman konteks seperti pengguna, aplikasi, lokasi, masa, halaju peristiwa dan faktor luaran yang lain. Untuk menjadi berkesan, produk DLP mesti mengenali kedua-dua kandungan dan konteks. Inilah sebabnya mengapa banyak pengeluar mula menyepadukan fungsi UEBA ke dalam penyelesaian mereka.

  • Pemantauan pekerja ialah keupayaan untuk merekod dan memainkan semula tindakan pekerja, biasanya dalam format data yang sesuai untuk prosiding undang-undang (jika perlu).

    Pemantauan pengguna yang berterusan selalunya menghasilkan sejumlah besar data yang memerlukan penapisan manual dan analisis manusia. Oleh itu, UEBA digunakan dalam sistem pemantauan untuk meningkatkan prestasi penyelesaian ini dan hanya mengesan insiden berisiko tinggi.

  • Keselamatan Titik Akhir – Penyelesaian pengesanan dan tindak balas titik akhir (EDR) dan platform perlindungan titik akhir (EPP) menyediakan instrumentasi yang berkuasa dan telemetri sistem pengendalian untuk
    peranti akhir.

    Telemetri berkaitan pengguna sedemikian boleh dianalisis untuk menyediakan kefungsian UEBA terbina dalam.

  • Penipuan dalam talian – Penyelesaian pengesanan penipuan dalam talian mengesan aktiviti menyimpang yang menunjukkan pencerobohan akaun pelanggan melalui penipuan, perisian hasad atau eksploitasi sambungan tidak selamat/pemintasan trafik penyemak imbas.

    Kebanyakan penyelesaian penipuan menggunakan intipati UEBA, analisis transaksi dan pengukuran peranti, dengan sistem yang lebih maju melengkapkannya dengan memadankan hubungan dalam pangkalan data identiti.

  • IAM dan kawalan akses – Gartner mencatatkan trend evolusi dalam kalangan vendor sistem kawalan akses untuk menyepadukan dengan vendor tulen dan membina beberapa fungsi UEBA ke dalam produk mereka.
  • Sistem IAM dan Tadbir Urus Identiti dan Pentadbiran (IGA). gunakan UEBA untuk merangkumi senario analisis tingkah laku dan identiti seperti pengesanan anomali, analisis kumpulan dinamik entiti yang serupa, analisis log masuk dan analisis dasar akses.
  • IAM dan Privileged Access Management (PAM) – Disebabkan peranan memantau penggunaan akaun pentadbiran, penyelesaian PAM mempunyai telemetri untuk menunjukkan bagaimana, mengapa, bila dan di mana akaun pentadbiran digunakan. Data ini boleh dianalisis menggunakan fungsi terbina dalam UEBA untuk kehadiran tingkah laku anomali pentadbir atau niat jahat.
  • Pengilang NTA (Analisis Trafik Rangkaian) – gunakan gabungan pembelajaran mesin, analisis lanjutan dan pengesanan berasaskan peraturan untuk mengenal pasti aktiviti yang mencurigakan pada rangkaian korporat.

    Alat NTA secara berterusan menganalisis trafik sumber dan/atau rekod aliran (mis. NetFlow) untuk membina model yang mencerminkan gelagat rangkaian biasa, terutamanya memfokuskan pada analisis gelagat entiti.

  • siem – banyak vendor SIEM kini mempunyai fungsi analitik data lanjutan yang terbina dalam SIEM, atau sebagai modul UEBA yang berasingan. Sepanjang 2018 dan setakat ini pada 2019, terdapat kekaburan berterusan sempadan antara fungsi SIEM dan UEBA, seperti yang dibincangkan dalam artikel "Wawasan Teknologi untuk SIEM Moden". Sistem SIEM telah menjadi lebih baik dalam bekerja dengan analitik dan menawarkan senario aplikasi yang lebih kompleks.

Senario Aplikasi UEBA

Penyelesaian UEBA boleh menyelesaikan pelbagai masalah. Walau bagaimanapun, pelanggan Gartner bersetuju bahawa kes penggunaan utama melibatkan pengesanan pelbagai kategori ancaman, yang dicapai dengan memaparkan dan menganalisis korelasi yang kerap antara tingkah laku pengguna dan entiti lain:

  • capaian dan pergerakan data tanpa kebenaran;
  • tingkah laku mencurigakan pengguna istimewa, aktiviti jahat atau tidak dibenarkan pekerja;
  • akses bukan standard dan penggunaan sumber awan;
  • dan lain-lain

Terdapat juga beberapa kes penggunaan bukan keselamatan siber yang tidak tipikal, seperti penipuan atau pemantauan pekerja, yang mana UEBA mungkin wajar. Walau bagaimanapun, mereka sering memerlukan sumber data di luar IT dan keselamatan maklumat, atau model analisis khusus dengan pemahaman mendalam tentang bidang ini. Lima senario dan aplikasi utama yang kedua-dua pengeluar UEBA dan pelanggan mereka bersetuju diterangkan di bawah.

"Malicious Insider"

Penyedia penyelesaian UEBA yang merangkumi senario ini hanya memantau pekerja dan kontraktor yang dipercayai untuk kelakuan luar biasa, "buruk", atau berniat jahat. Penjual dalam bidang kepakaran ini tidak memantau atau menganalisis kelakuan akaun perkhidmatan atau entiti bukan manusia lain. Sebahagian besarnya disebabkan oleh ini, mereka tidak tertumpu pada mengesan ancaman lanjutan di mana penggodam mengambil alih akaun sedia ada. Sebaliknya, mereka bertujuan untuk mengenal pasti pekerja yang terlibat dalam aktiviti berbahaya.

Pada asasnya, konsep "orang dalam yang berniat jahat" berpunca daripada pengguna yang dipercayai dengan niat jahat yang mencari cara untuk menyebabkan kerosakan kepada majikan mereka. Oleh kerana niat jahat sukar diukur, vendor terbaik dalam kategori ini menganalisis data gelagat kontekstual yang tidak mudah didapati dalam log audit.

Penyedia penyelesaian dalam ruang ini juga menambah dan menganalisis data tidak berstruktur secara optimum, seperti kandungan e-mel, laporan produktiviti atau maklumat media sosial, untuk menyediakan konteks bagi tingkah laku.

Orang dalam yang terjejas dan ancaman pencerobohan

Cabarannya ialah untuk mengesan dan menganalisis tingkah laku "buruk" dengan cepat setelah penyerang mendapat akses kepada organisasi dan mula bergerak dalam infrastruktur IT.
Ancaman asertif (APT), seperti ancaman yang tidak diketahui atau belum difahami sepenuhnya, amat sukar untuk dikesan dan sering bersembunyi di sebalik aktiviti pengguna atau akaun perkhidmatan yang sah. Ancaman sedemikian biasanya mempunyai model operasi yang kompleks (lihat, sebagai contoh, artikel " Menangani Rantaian Pembunuhan Siber") atau tingkah laku mereka masih belum dinilai sebagai berbahaya. Ini menjadikan mereka sukar untuk dikesan menggunakan analitis mudah (seperti padanan mengikut corak, ambang atau peraturan korelasi).

Walau bagaimanapun, kebanyakan daripada ancaman pencerobohan ini mengakibatkan tingkah laku tidak standard, selalunya melibatkan pengguna atau entiti yang tidak curiga (aka orang dalam yang terjejas). Teknik UEBA menawarkan beberapa peluang menarik untuk mengesan ancaman tersebut, meningkatkan nisbah isyarat kepada hingar, menyatukan dan mengurangkan volum pemberitahuan, mengutamakan baki makluman dan memudahkan tindak balas dan penyiasatan insiden yang berkesan.

Vendor UEBA yang menyasarkan kawasan masalah ini selalunya mempunyai penyepaduan dua arah dengan sistem SIEM organisasi.

Penyusutan Data

Tugas dalam kes ini adalah untuk mengesan fakta bahawa data sedang dipindahkan ke luar organisasi.
Vendor memfokuskan pada cabaran ini biasanya memanfaatkan keupayaan DLP atau DAG dengan pengesanan anomali dan analitik lanjutan, dengan itu meningkatkan nisbah isyarat kepada hingar, menyatukan volum pemberitahuan dan mengutamakan pencetus yang tinggal. Untuk konteks tambahan, vendor biasanya lebih banyak bergantung pada trafik rangkaian (seperti proksi web) dan data titik akhir, kerana analisis sumber data ini boleh membantu dalam penyiasatan exfiltrasi data.

Pengesanan exfiltration data digunakan untuk menangkap orang dalam dan penggodam luar yang mengancam organisasi.

Pengenalpastian dan pengurusan akses istimewa

Pengilang penyelesaian UEBA bebas dalam bidang kepakaran ini memerhati dan menganalisis tingkah laku pengguna terhadap latar belakang sistem hak yang telah dibentuk untuk mengenal pasti keistimewaan yang berlebihan atau akses anomali. Ini terpakai kepada semua jenis pengguna dan akaun, termasuk akaun istimewa dan perkhidmatan. Organisasi juga menggunakan UEBA untuk menyingkirkan akaun tidak aktif dan keistimewaan pengguna yang lebih tinggi daripada yang diperlukan.

Keutamaan insiden

Matlamat tugas ini adalah untuk mengutamakan pemberitahuan yang dijana oleh penyelesaian dalam timbunan teknologi mereka untuk memahami insiden atau insiden yang berpotensi harus ditangani terlebih dahulu. Metodologi dan alatan UEBA berguna dalam mengenal pasti insiden yang sangat anomali atau sangat berbahaya bagi organisasi tertentu. Dalam kes ini, mekanisme UEBA bukan sahaja menggunakan tahap asas aktiviti dan model ancaman, tetapi juga memenuhi data dengan maklumat tentang struktur organisasi syarikat (contohnya, sumber atau peranan kritikal dan tahap akses pekerja).

Masalah melaksanakan penyelesaian UEBA

Kesakitan pasaran bagi penyelesaian UEBA ialah harga yang tinggi, pelaksanaan yang kompleks, penyelenggaraan dan penggunaannya. Walaupun syarikat sedang bergelut dengan bilangan portal dalaman yang berbeza, mereka mendapat konsol lain. Saiz pelaburan masa dan sumber dalam alat baharu bergantung pada tugasan yang ada dan jenis analitik yang diperlukan untuk menyelesaikannya, dan selalunya memerlukan pelaburan yang besar.

Bertentangan dengan apa yang didakwa oleh banyak pengeluar, UEBA bukanlah alat "tetapkan dan lupakannya" yang kemudiannya boleh berjalan secara berterusan selama berhari-hari.
Pelanggan Gartner, sebagai contoh, ambil perhatian bahawa ia mengambil masa dari 3 hingga 6 bulan untuk melancarkan inisiatif UEBA dari awal untuk mendapatkan hasil pertama bagi menyelesaikan masalah yang penyelesaian ini dilaksanakan. Untuk tugas yang lebih kompleks, seperti mengenal pasti ancaman orang dalam dalam organisasi, tempoh tersebut meningkat kepada 18 bulan.

Faktor yang mempengaruhi kesukaran melaksanakan UEBA dan keberkesanan alat pada masa hadapan:

  • Kerumitan seni bina organisasi, topologi rangkaian dan dasar pengurusan data
  • Ketersediaan data yang betul pada tahap perincian yang betul
  • Kerumitan algoritma analitis vendor—contohnya, penggunaan model statistik dan pembelajaran mesin berbanding corak dan peraturan mudah.
  • Jumlah analitik prakonfigurasi disertakan—iaitu, pemahaman pengilang tentang data yang perlu dikumpul untuk setiap tugas dan pembolehubah dan atribut yang paling penting untuk melaksanakan analisis.
  • Betapa mudahnya bagi pengilang untuk menyepadukan secara automatik dengan data yang diperlukan.

    Sebagai contoh:

    • Jika penyelesaian UEBA menggunakan sistem SIEM sebagai sumber utama datanya, adakah SIEM mengumpul maklumat daripada sumber data yang diperlukan?
    • Bolehkah log peristiwa dan data konteks organisasi yang diperlukan dialihkan ke penyelesaian UEBA?
    • Jika sistem SIEM belum lagi mengumpul dan mengawal sumber data yang diperlukan oleh penyelesaian UEBA, maka bagaimana ia boleh dipindahkan ke sana?

  • Betapa pentingnya senario aplikasi untuk organisasi, berapa banyak sumber data yang diperlukan, dan berapa banyak tugas ini bertindih dengan bidang kepakaran pengeluar.
  • Apakah tahap kematangan dan penglibatan organisasi yang diperlukan – contohnya, penciptaan, pembangunan dan penghalusan peraturan dan model; memberikan pemberat kepada pembolehubah untuk penilaian; atau melaraskan ambang penilaian risiko.
  • Sejauh manakah penyelesaian vendor dan seni binanya berskala berbanding saiz semasa organisasi dan keperluan masa hadapannya.
  • Masa untuk membina model asas, profil dan kumpulan utama. Pengilang selalunya memerlukan sekurang-kurangnya 30 hari (dan kadangkala sehingga 90 hari) untuk menjalankan analisis sebelum mereka boleh menentukan konsep "biasa". Memuatkan data sejarah sekali boleh mempercepatkan latihan model. Beberapa kes menarik boleh dikenal pasti lebih cepat menggunakan peraturan daripada menggunakan pembelajaran mesin dengan jumlah data awal yang sangat kecil.
  • Tahap usaha yang diperlukan untuk membina kumpulan dinamik dan pemprofilan akaun (perkhidmatan/orang) boleh sangat berbeza antara penyelesaian.

Sumber: www.habr.com

Tambah komen