ယနေ့ကျွန်ုပ်တို့သည်နောက်ဆုံးပေါ်အခြေခံ၍ User and Entity Behavioral Analytics (UEBA) စျေးကွက်၏အကျဉ်းချုပ်ကိုတင်ပြပါမည်။ Gartner သုတေသန. နည်းပညာ၏ ရင့်ကျက်မှုကို ညွှန်ပြသော Gartner Hype Cycle for Threat-Facing Technologies အရ UEBA စျေးကွက်သည် “စိတ်ပျက်စရာအဆင့်” ၏ အောက်ခြေတွင် ရှိနေသည်။ သို့သော် အခြေအနေ၏ ဝိရောဓိသည် UEBA နည်းပညာများတွင် ရင်းနှီးမြှုပ်နှံမှုများ တပြိုင်နက် ကြီးထွားလာမှုနှင့် လွတ်လပ်သော UEBA ဖြေရှင်းချက်များ၏ ပျောက်ကွယ်သွားသည့် စျေးကွက်တွင် တည်ရှိနေသည်။ Gartner က UEBA သည် သက်ဆိုင်ရာ သတင်းအချက်အလက် လုံခြုံရေး ဖြေရှင်းချက်များ၏ လုပ်ဆောင်နိုင်စွမ်း၏ တစ်စိတ်တစ်ပိုင်း ဖြစ်လာလိမ့်မည်ဟု ခန့်မှန်းသည်။ "UEBA" ဟူသော အသုံးအနှုန်းသည် အသုံးမပြုတော့ဘဲ ကျဉ်းမြောင်းသော အပလီကေးရှင်းဧရိယာ (ဥပမာ၊ "အသုံးပြုသူ အပြုအမူ ပိုင်းခြားစိတ်ဖြာမှု")၊ အလားတူ အပလီကေးရှင်းဧရိယာ (ဥပမာ၊ "ဒေတာ ခွဲခြမ်းစိတ်ဖြာမှု") သို့မဟုတ် ရိုးရှင်းသော အခြားအတိုကောက်ဖြင့် အစားထိုးပါမည်။ buzzword အသစ် (ဥပမာ၊ "ဥာဏ်ရည်တု" [AI] ဟူသော ဝေါဟာရသည် ခေတ်မီ UEBA ထုတ်လုပ်သူများအတွက် အဓိပ္ပါယ်မရှိသော်လည်း၊ ၎င်းသည် စိတ်ဝင်စားဖွယ်ကောင်းပုံရသည်။

Gartner လေ့လာမှုမှ အဓိကတွေ့ရှိချက်များကို အောက်ပါအတိုင်း အကျဉ်းချုံးနိုင်ပါသည်။

• သုံးစွဲသူများနှင့် အဖွဲ့အစည်းများ၏ အပြုအမူဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှုများအတွက် စျေးကွက်၏ရင့်ကျက်မှုကို စီးပွားရေးပြဿနာများစွာကိုဖြေရှင်းရန်အတွက် အလတ်နှင့်အကြီးစားကော်ပိုရိတ်အပိုင်းမှ ဤနည်းပညာများကို အသုံးပြုကြောင်းအချက်ဖြင့် အတည်ပြုပါသည်။
• UEBA ခွဲခြမ်းစိတ်ဖြာမှုစွမ်းရည်များကို cloud access လုံခြုံရေးပွဲစားများ (CASBs)၊ အထောက်အထား အုပ်ချုပ်မှုနှင့် စီမံခန့်ခွဲရေး (IGA) SIEM စနစ်များကဲ့သို့သော ကျယ်ပြန့်သော ဆက်စပ်သတင်းအချက်အလက် လုံခြုံရေးနည်းပညာများဖြင့် တည်ဆောက်ထားသည်။
• UEBA ရောင်းချသူများနှင့် ပတ်သက်၍ ဖောင်းပွနေခြင်းနှင့် "ဉာဏ်ရည်တု" ဟူသော အသုံးအနှုန်းကို မှားယွင်းစွာအသုံးပြုခြင်းသည် ထုတ်လုပ်သူ၏နည်းပညာများနှင့် ရှေ့ပြေးပရောဂျက်ကို မလုပ်ဆောင်ဘဲ ဖြေရှင်းချက်များ၏ လုပ်ဆောင်နိုင်စွမ်းများကြားမှ အမှန်တကယ်ကွာခြားချက်ကို နားလည်ရန် သုံးစွဲသူများအတွက် ခက်ခဲစေသည်။
• UEBA ဖြေရှင်းချက်များအား အကောင်အထည်ဖော်ချိန်နှင့် နေ့စဥ်အသုံးပြုမှုသည် ထုတ်လုပ်သူကတိပြုထားသည်ထက် ပိုမိုများပြားပြီး အချိန်ကုန်နိုင်ကြောင်း သုံးစွဲသူများက သတိပြုမိပါသည်။ စိတ်ကြိုက် သို့မဟုတ် အနားသတ်အသုံးပြုမှုကိစ္စများကို ပေါင်းထည့်ခြင်းသည် အလွန်ခက်ခဲနိုင်ပြီး ဒေတာသိပ္ပံနှင့် ခွဲခြမ်းစိတ်ဖြာမှုတွင် ကျွမ်းကျင်မှုလိုအပ်ပါသည်။

မဟာဗျူဟာမြောက် စျေးကွက်ဖွံ့ဖြိုးတိုးတက်မှု ခန့်မှန်းချက်-

• 2021 ခုနှစ်တွင်၊ အသုံးပြုသူနှင့် entity အပြုအမူဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှု (UEBA) စနစ်များအတွက် စျေးကွက်သည် သီးခြားဧရိယာအဖြစ် တည်ရှိတော့မည်ဖြစ်ပြီး UEBA လုပ်ဆောင်နိုင်စွမ်းဖြင့် အခြားသော ဖြေရှင်းနည်းများဆီသို့ ပြောင်းလဲသွားမည်ဖြစ်သည်။
• 2020 တွင် UEBA ဖြန့်ကျက်မှုအားလုံး၏ 95% သည် ပိုမိုကျယ်ပြန့်သော လုံခြုံရေးပလပ်ဖောင်း၏ တစ်စိတ်တစ်ပိုင်းဖြစ်လာမည်ဖြစ်သည်။

UEBA ဖြေရှင်းချက်များ၏ အဓိပ္ပါယ်

UEBA ဖြေရှင်းချက်များသည် သုံးစွဲသူများနှင့် အခြားအရာများ (အိမ်ရှင်များ၊ အပလီကေးရှင်းများ၊ ကွန်ရက်အသွားအလာနှင့် ဒေတာစတိုးဆိုင်များကဲ့သို့) ၏လုပ်ဆောင်မှုကို အကဲဖြတ်ရန် built-in ခွဲခြမ်းစိတ်ဖြာမှုကို အသုံးပြုပါသည်။
၎င်းတို့သည် အချိန်အတိုင်းအတာတစ်ခုအတွင်း အလားတူအုပ်စုများရှိ အသုံးပြုသူများနှင့် အလားတူအဖွဲ့များ၏ စံပရိုဖိုင်နှင့် အပြုအမူနှင့် နှိုင်းယှဉ်ကာ ပုံမှန်အားဖြင့် မမှန်မကန်လုပ်ဆောင်မှုများကို ကိုယ်စားပြုသည့် ခြိမ်းခြောက်မှုများနှင့် ဖြစ်နိုင်ချေရှိသော အဖြစ်အပျက်များကို ရှာဖွေတွေ့ရှိသည်။

လုပ်ငန်း အပိုင်းရှိ အသုံးအများဆုံး ကိစ္စများမှာ ခြိမ်းခြောက်မှု ထောက်လှမ်းခြင်း နှင့် တုံ့ပြန်မှု အပြင် အတွင်းပိုင်း ခြိမ်းခြောက်မှုများကို ထောက်လှမ်းခြင်း နှင့် တုံ့ပြန်ခြင်း ( အများအားဖြင့် အပေးအယူ ခံရသော အတွင်းသားများ ၊ တစ်ခါတစ်ရံတွင် အတွင်းပိုင်း တိုက်ခိုက်သူများ ) ဖြစ်သည်။

UEBA က အဲဒီလိုပါပဲ။ ဆုံးဖြတ်ချက်နှင့် လုပ်ဆောင်ချက်သီးခြားကိရိယာတစ်ခုအဖြစ် တည်ဆောက်ထားသည်-

• ဖြေရှင်းချက်သည် SIEM ဖြေရှင်းချက်များအား သီးခြားရောင်းချသည့် ရောင်းချသူများ အပါအဝင် "စင်ကြယ်သော" UEBA ပလပ်ဖောင်းများ၏ ထုတ်လုပ်သူများဖြစ်သည်။ သုံးစွဲသူများနှင့် အဖွဲ့အစည်းနှစ်ခုလုံး၏ အပြုအမူဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှုတွင် စီးပွားရေးဆိုင်ရာ ပြဿနာများစွာကို အာရုံစိုက်ထားသည်။
• ထည့်သွင်းထားသည် - UEBA လုပ်ဆောင်ချက်များနှင့် နည်းပညာများကို ၎င်းတို့၏ဖြေရှင်းချက်များတွင် ပေါင်းစပ်ထားသော ထုတ်လုပ်သူ/ဌာနခွဲများ။ ပုံမှန်အားဖြင့် ပိုမိုတိကျသော လုပ်ငန်းပြဿနာများကို အာရုံစိုက်သည်။ ဤကိစ္စတွင်၊ UEBA သည် သုံးစွဲသူများနှင့်/သို့မဟုတ် အရာဝတ္ထုများ၏ အပြုအမူများကို ခွဲခြမ်းစိတ်ဖြာရန် အသုံးပြုသည်။

Gartner သည် ပြဿနာဖြေရှင်းသူများ၊ ခွဲခြမ်းစိတ်ဖြာမှုနှင့် ဒေတာရင်းမြစ်များအပါအဝင် ပုဆိန်သုံးချောင်းတစ်လျှောက် UEBA ကို ကြည့်ရှုသည် (ပုံတွင်ကြည့်ပါ)။

Built-in UEBA နှင့် "စင်ကြယ်သော" UEBA ပလပ်ဖောင်းများ

Gartner သည် "စင်ကြယ်သော" UEBA ပလပ်ဖောင်းကိုဖြေရှင်းချက်အဖြစ်စဉ်းစားသည်-

• အခွင့်ထူးခံအသုံးပြုသူများကို စောင့်ကြည့်ခြင်း သို့မဟုတ် အဖွဲ့အစည်းပြင်ပတွင် ဒေတာထုတ်ပေးခြင်းကဲ့သို့သော သီးခြားပြဿနာများစွာကို ဖြေရှင်းပေးရုံသာမက၊
• အခြေခံခွဲခြမ်းစိတ်ဖြာနည်းများကို အခြေခံ၍ သေချာပေါက် ရှုပ်ထွေးသော ခွဲခြမ်းစိတ်ဖြာမှုများကို အသုံးပြုခြင်းတွင် ပါဝင်ပါသည်။
• ဒေတာစုဆောင်းခြင်းအတွက် ရွေးချယ်စရာများစွာကို အခြေခံအဆောက်အအုံတွင် သီးခြားအေးဂျင့်များကို ချထားရန်မလိုအပ်ဘဲ မှတ်တမ်းစီမံခန့်ခွဲမှုကိရိယာများ၊ Data lake နှင့်/သို့မဟုတ် SIEM စနစ်များအပါအဝင် ဒေတာစုဆောင်းမှုအတွက် ရွေးချယ်စရာများစွာကို ပံ့ပိုးပေးပါသည်။
• တွင်ပါ၀င်သည်ထက် သီးသန့်ဖြေရှင်းချက်အဖြစ် ဝယ်ယူအသုံးပြုနိုင်ပါသည်။
  အခြားထုတ်ကုန်များ၏ဖွဲ့စည်းမှု။

အောက်ပါဇယားသည် ချဉ်းကပ်မှုနှစ်ခုကို နှိုင်းယှဉ်ထားသည်။

ဇယား 1. "စင်ကြယ်သော" UEBA ဖြေရှင်းချက်များနှင့် တပ်ဆင်ထားသည့်အရာများ

အမျိုးအစား	"စင်ကြယ်သော" UEBA ပလပ်ဖောင်းများ	built-in UEBA နှင့်အတူအခြားဖြေရှင်းချက်
ဖြေရှင်းရမည့်ပြဿနာ	သုံးစွဲသူများ၏ အပြုအမူနှင့် အရာများကို ခွဲခြမ်းစိတ်ဖြာခြင်း။	ဒေတာမရှိခြင်း UEBA သည် အသုံးပြုသူများ သို့မဟုတ် အဖွဲ့အစည်းများ၏ အပြုအမူကို ခွဲခြမ်းစိတ်ဖြာရန် ကန့်သတ်ထားနိုင်သည်။
ဖြေရှင်းရမည့်ပြဿနာ	ကျယ်ပြန့်သောပြဿနာများကိုဖြေရှင်းရန်တာဝန်ရှိသည်။	အကန့်အသတ်ရှိသော အလုပ်များကို အထူးပြုသည်။
analytics	အမျိုးမျိုးသော ခွဲခြမ်းစိတ်ဖြာမှုနည်းလမ်းများကို အသုံးပြု၍ ကွဲကွဲပြားပြားသိရှိခြင်း - အဓိကအားဖြင့် ကိန်းဂဏန်းဆိုင်ရာ မော်ဒယ်များနှင့် စက်သင်ယူခြင်းများ၊ စည်းမျဉ်းများနှင့် လက်မှတ်များနှင့်အတူ။ အသုံးပြုသူနှင့် အဖွဲ့အစည်း လုပ်ဆောင်ချက်ကို ၎င်းတို့၏ လုပ်ဖော်ကိုင်ဖက်များ၏ ပရိုဖိုင်များနှင့် နှိုင်းယှဉ်ဖန်တီးရန် ပါ၀င်သော ခွဲခြမ်းစိတ်ဖြာမှုဖြင့် ပါရှိသည်။	စစ်မှန်သော UEBA နှင့်ဆင်တူသော်လည်း ခွဲခြမ်းစိတ်ဖြာမှုကို အသုံးပြုသူများနှင့်/သို့မဟုတ် အဖွဲ့အစည်းများအတွက်သာ ကန့်သတ်ထားနိုင်သည်။
analytics	စည်းမျဉ်းများဖြင့်သာ ကန့်သတ်မထားဘဲ အဆင့်မြင့် ခွဲခြမ်းစိတ်ဖြာနိုင်စွမ်းများ။ ဥပမာအားဖြင့်၊ အရာဝတ္ထုများ၏ တက်ကြွသောအုပ်စုဖွဲ့မှုနှင့်အတူ အစုလိုက်အပြုံလိုက် အယ်လဂိုရီသမ်။	“စင်ကြယ်သော” UEBA နှင့် ဆင်တူသော်လည်း အချို့သော မြှုပ်သွင်းထားသော ခြိမ်းခြောက်မှုပုံစံများတွင် အဖွဲ့အစည်းအုပ်စုဖွဲ့ခြင်းကို လူကိုယ်တိုင်သာ ပြောင်းလဲနိုင်သည်။
analytics	သုံးစွဲသူများနှင့် အခြားအရာများ၏ လုပ်ဆောင်ချက်နှင့် ဆက်စပ်မှု (ဥပမာ၊ Bayesian ကွန်ရက်များကို အသုံးပြုခြင်း) နှင့် ပုံမှန်မဟုတ်သော လုပ်ဆောင်ချက်များကို ဖော်ထုတ်ရန်အတွက် တစ်ဦးချင်းစီ၏ အန္တရာယ်ပြုမှု စုစည်းမှု။	စစ်မှန်သော UEBA နှင့်ဆင်တူသော်လည်း ခွဲခြမ်းစိတ်ဖြာမှုကို အသုံးပြုသူများနှင့်/သို့မဟုတ် အဖွဲ့အစည်းများအတွက်သာ ကန့်သတ်ထားနိုင်သည်။
ဒေတာအရင်းအမြစ်များ	SIEM သို့မဟုတ် Data lake ကဲ့သို့ တပ်ဆင်ထားသော ယန္တရားများ သို့မဟုတ် လက်ရှိ ဒေတာစတိုးဆိုင်များမှတစ်ဆင့် သုံးစွဲသူများနှင့် ဒေတာအရင်းအမြစ်များမှ အဖြစ်အပျက်များကို တိုက်ရိုက်လက်ခံခြင်း။	ဒေတာရယူခြင်းအတွက် ယန္တရားများသည် များသောအားဖြင့် တိုက်ရိုက်သာဖြစ်ပြီး သုံးစွဲသူများနှင့်/သို့မဟုတ် အခြားအရာများကိုသာ သက်ရောက်မှုရှိသည်။ မှတ်တမ်းစီမံခန့်ခွဲမှုကိရိယာများ / SIEM / Data lake ကိုအသုံးမပြုပါနှင့်။
ဒေတာအရင်းအမြစ်များ	ဖြေရှင်းချက်သည် ကွန်ရက်အသွားအလာကို ဒေတာ၏အဓိကရင်းမြစ်အဖြစ်သာမက telemetry စုဆောင်းရန်အတွက် ၎င်း၏ကိုယ်ပိုင်အေးဂျင့်များကိုသာ အားကိုးသင့်သည်။	ဖြေရှင်းချက်သည် ကွန်ရက်အသွားအလာ (ဥပမာ၊ NTA - ကွန်ရက်အသွားအလာ ခွဲခြမ်းစိတ်ဖြာမှု) နှင့်/သို့မဟုတ် ၎င်း၏အေးဂျင့်များ (ဥပမာ၊ ဝန်ထမ်းစောင့်ကြည့်ရေးအသုံးအဆောင်များ) ပေါ်တွင်သာ အာရုံစိုက်နိုင်သည်။
ဒေတာအရင်းအမြစ်များ	အသုံးပြုသူ/အဖွဲ့အစည်းဒေတာကို အကြောင်းအရာဖြင့် ပြည့်ဝစေသည်။ အချိန်နှင့်တပြေးညီ ဖွဲ့စည်းတည်ဆောက်ထားသော အဖြစ်အပျက်များကို စုစည်းမှုအပြင် IT လမ်းညွှန်များမှ ဖွဲ့စည်းပုံ/အစီအစဥ်မညီသော ပေါင်းစပ်ဒေတာများကို ပံ့ပိုးပေးသည် - ဥပမာ၊ Active Directory (AD) သို့မဟုတ် အခြားသော စက်ဖတ်နိုင်သော အချက်အလက်အရင်းအမြစ်များ (ဥပမာ၊ HR ဒေတာဘေ့စ်များ)။	UEBA စစ်စစ်နှင့် ဆင်တူသော်လည်း ဆက်စပ်အချက်အလက်များ၏ အတိုင်းအတာသည် ဖြစ်ရပ်တစ်ခုနှင့်တစ်ခု ကွဲပြားနိုင်ပါသည်။ AD နှင့် LDAP တို့သည် မြှုပ်သွင်းထားသော UEBA ဖြေရှင်းချက်များမှ အသုံးပြုသည့် အသုံးအများဆုံး အကြောင်းအရာ အချက်အလက်စတိုးဆိုင်များဖြစ်သည်။
အသုံးပြုနိုင်မှု	သီးသန့်ထုတ်ကုန်တစ်ခုအဖြစ် စာရင်းသွင်းအင်္ဂါရပ်များကို ပံ့ပိုးပေးသည်။	built-in UEBA လုပ်ဆောင်ချက်ကို ၎င်းတွင်တည်ဆောက်ထားသည့် ပြင်ပဖြေရှင်းချက်ကို မ၀ယ်ဘဲ ဝယ်ယူရန် မဖြစ်နိုင်ပါ။
အရင်းအမြစ်- Gartner (မေလ 2019)

ထို့ကြောင့်၊ အချို့သောပြဿနာများကိုဖြေရှင်းရန်၊ မြှုပ်သွင်းထားသော UEBA သည် အခြေခံ UEBA ခွဲခြမ်းစိတ်ဖြာမှု (ဥပမာ၊ ရိုးရှင်းသော ကြီးကြပ်မှုမရှိသော စက်သင်ယူမှု) ကို အသုံးပြုနိုင်သော်လည်း တစ်ချိန်တည်းတွင် လိုအပ်သောဒေတာကို အတိအကျရယူထားသောကြောင့်၊ ၎င်းသည် "စင်ကြယ်သော" ထက် အလုံးစုံပိုမိုထိရောက်နိုင်သည်။ UEBA ဖြေရှင်းချက်။ တစ်ချိန်တည်းမှာပင်၊ မျှော်လင့်ထားသည့်အတိုင်း "သန့်စင်သော" UEBA ပလပ်ဖောင်းများသည် built-in UEBA ကိရိယာနှင့် နှိုင်းယှဉ်ပါက အဓိက အသိပညာအဖြစ် ပိုမိုရှုပ်ထွေးသော ခွဲခြမ်းစိတ်ဖြာမှုများကို ပေးဆောင်ပါသည်။ ဤရလဒ်များကို ဇယား 2 တွင် အကျဉ်းချုပ်ဖော်ပြထားသည်။

ဇယား 2. "စင်ကြယ်သော" နှင့် built-in UEBA အကြားခြားနားချက်များ၏ရလဒ်

အမျိုးအစား	"စင်ကြယ်သော" UEBA ပလပ်ဖောင်းများ	built-in UEBA နှင့်အတူအခြားဖြေရှင်းချက်
analytics	လုပ်ငန်းပြဿနာမျိုးစုံကို ဖြေရှင်းရာတွင် အသုံးချနိုင်မှုသည် ပိုမိုရှုပ်ထွေးသော ခွဲခြမ်းစိတ်ဖြာမှုနှင့် စက်သင်ယူမှုပုံစံများကို အလေးပေးခြင်းဖြင့် UEBA ၏ အထွေထွေလုပ်ဆောင်ချက်များကို ကိုယ်စားပြုသည်။	သေးငယ်သော လုပ်ငန်းပြဿနာများကို အာရုံစိုက်ခြင်းသည် ပိုမိုရိုးရှင်းသောယုတ္တိရှိသော အပလီကေးရှင်းအလိုက် မော်ဒယ်များကို အာရုံစိုက်သည့် အထူးပြုအင်္ဂါရပ်များဖြစ်သည်။
analytics	အပလီကေးရှင်းတစ်ခုစီအတွက် ခွဲခြမ်းစိတ်ဖြာမှုပုံစံကို စိတ်ကြိုက်ပြင်ဆင်ရန် လိုအပ်ပါသည်။	UEBA တွင် ထည့်သွင်းထားသော ကိရိယာအတွက် ခွဲခြမ်းစိတ်ဖြာမှု မော်ဒယ်များကို ကြိုတင်ပြင်ဆင်ထားပါသည်။ Built-in UEBA ပါရှိသည့် ကိရိယာသည် ယေဘုယျအားဖြင့် အချို့သော လုပ်ငန်းပြဿနာများကို ဖြေရှင်းရာတွင် ပိုမိုမြန်ဆန်သောရလဒ်များကို ရရှိသည်။
ဒေတာအရင်းအမြစ်များ	ကော်ပိုရိတ်အခြေခံအဆောက်အအုံ၏ ထောင့်ပေါင်းစုံမှ ဒေတာရင်းမြစ်များကို ရယူနိုင်ခြင်း။	များသောအားဖြင့် ၎င်းတို့အတွက် အေးဂျင့်များရရှိနိုင်မှု သို့မဟုတ် UEBA လုပ်ဆောင်ချက်များဖြင့် ကိရိယာကိုယ်တိုင်က ကန့်သတ်ထားသော ဒေတာရင်းမြစ်နည်းပါးသည်။
ဒေတာအရင်းအမြစ်များ	မှတ်တမ်းတစ်ခုစီတွင်ပါရှိသော အချက်အလက်များကို ဒေတာအရင်းအမြစ်မှ ကန့်သတ်ထားနိုင်ပြီး ဗဟိုချုပ်ကိုင်ထားသော UEBA ကိရိယာအတွက် လိုအပ်သောဒေတာအားလုံး မပါဝင်နိုင်ပါ။	အေးဂျင့်မှ စုဆောင်းပြီး UEBA သို့ ပို့လွှတ်သည့် ဒေတာကုန်ကြမ်း၏ ပမာဏနှင့် အသေးစိတ်အချက်အလက်များကို အထူးစီစဉ်သတ်မှတ်နိုင်ပါသည်။
ဗိသုကာအတတ်ပညာ	၎င်းသည် အဖွဲ့အစည်းတစ်ခုအတွက် ပြီးပြည့်စုံသော UEBA ထုတ်ကုန်တစ်ခုဖြစ်သည်။ SIEM စနစ် သို့မဟုတ် Data lake ၏ လုပ်ဆောင်နိုင်စွမ်းများကို အသုံးပြု၍ ပေါင်းစပ်ခြင်းသည် ပိုမိုလွယ်ကူသည်။	Built-in UEBA ပါရှိသည့် ဖြေရှင်းချက်တစ်ခုစီအတွက် သီးခြား UEBA အင်္ဂါရပ်များ လိုအပ်ပါသည်။ ထည့်သွင်းထားသော UEBA ဖြေရှင်းချက်များသည် အေးဂျင့်များ ထည့်သွင်းခြင်းနှင့် ဒေတာကို စီမံခန့်ခွဲရန် လိုအပ်သည်။
ပေါင်းစည်းမှု	ကိစ္စတစ်ခုစီတွင် အခြားကိရိယာများနှင့် UEBA ဖြေရှင်းချက်ကို လက်ဖြင့်ပေါင်းစပ်ခြင်း။ အဖွဲ့အစည်းအား "အကောင်းဆုံး analogues" ချဉ်းကပ်မှုအပေါ် အခြေခံ၍ ၎င်း၏နည်းပညာအစုအဝေးကို တည်ဆောက်ခွင့်ပြုသည်။	UEBA လုပ်ဆောင်ချက်များ၏ အဓိကအစုအဝေးများကို ထုတ်လုပ်သူကိုယ်တိုင်က tool တွင် ထည့်သွင်းထားပြီးဖြစ်သည်။ UEBA module သည် built-in ရှိပြီး ဖယ်ရှား၍မရသောကြောင့် သုံးစွဲသူများသည် ၎င်းကို ၎င်းတို့၏ကိုယ်ပိုင်တစ်ခုခုဖြင့် အစားထိုး၍မရပါ။
အရင်းအမြစ်- Gartner (မေလ 2019)

UEBA ၏လုပ်ဆောင်ချက်တစ်ခုဖြစ်သည်။

UEBA သည် အပိုထပ်ဆောင်းခွဲခြမ်းစိတ်ဖြာမှုမှ အကျိုးကျေးဇူးရရှိနိုင်သည့် အဆုံးမှအဆုံး ဆိုက်ဘာလုံခြုံရေးဖြေရှင်းချက်များ၏ အင်္ဂါရပ်တစ်ခုဖြစ်လာသည်။ UEBA သည် အသုံးပြုသူနှင့်/သို့မဟုတ် အဖွဲ့အစည်းအပြုအမူပုံစံများပေါ်အခြေခံ၍ အားကောင်းသောအဆင့်မြင့်ခွဲခြမ်းစိတ်ဖြာမှုအလွှာကို ပေးဆောင်ကာ ဤဖြေရှင်းချက်များကို အရင်းခံထားသည်။

စျေးကွက်တွင် လောလောဆယ်တွင် Built-in UEBA လုပ်ဆောင်နိုင်စွမ်းကို နည်းပညာနယ်ပယ်အလိုက် အုပ်စုဖွဲ့ထားသည့် အောက်ပါဖြေရှင်းချက်များတွင် အကောင်အထည်ဖော်သည်-

• ဒေတာကို အဓိကထား စစ်ဆေးခြင်းနှင့် အကာအကွယ်ပေးခြင်းဖွဲ့စည်းတည်ဆောက်ပုံနှင့်ဖွဲ့စည်းပုံမထားသောဒေတာသိုလှောင်မှု (ခေါ်) DCAP ၏လုံခြုံရေးကို မြှင့်တင်ရန် အာရုံစိုက်နေသော ရောင်းချသူများဖြစ်သည်။

  ရောင်းချသူများ၏ ဤအမျိုးအစားတွင် Gartner မှတ်စုများ၊ Varonis ဆိုက်ဘာလုံခြုံရေးပလက်ဖောင်းကွဲပြားသော အချက်အလက်စတိုးဆိုင်များရှိ ဒေတာခွင့်ပြုချက်များ၊ အသုံးပြုခွင့်နှင့် အသုံးပြုမှုတို့တွင် အပြောင်းအလဲများကို စောင့်ကြည့်ရန် အသုံးပြုသူအပြုအမူ ပိုင်းခြားစိတ်ဖြာချက်ကို ပေးဆောင်သည်။

• CASB စနစ်များAdaptive access control system ကို အသုံးပြု၍ မလိုလားအပ်သော စက်ပစ္စည်းများ၊ အသုံးပြုသူများနှင့် အပလီကေးရှင်းဗားရှင်းများအတွက် cloud-based SaaS အပလီကေးရှင်းများတွင် ခြိမ်းခြောက်မှုအမျိုးမျိုးကို အကာအကွယ်ပေးပါသည်။

  စျေးကွက်ဦးဆောင် CASB ဖြေရှင်းချက်အားလုံး UEBA စွမ်းရည်များ ပါဝင်သည်။

• DLP ဖြေရှင်းချက်များ - အဖွဲ့အစည်းပြင်ပ သို့မဟုတ် ၎င်း၏အလွဲသုံးစားပြုမှုများအတွက် အရေးကြီးသောဒေတာလွှဲပြောင်းမှုကို ရှာဖွေဖော်ထုတ်ခြင်းအပေါ် အာရုံစိုက်ပါ။

  DLP တိုးတက်မှုများသည် အသုံးပြုသူ၊ အပလီကေးရှင်း၊ တည်နေရာ၊ အချိန်၊ အဖြစ်အပျက်များ၏ အလျင်နှင့် အခြားပြင်ပအချက်များကဲ့သို့ နားလည်မှုနည်းပါးသော အကြောင်းအရာများအပေါ် အာရုံစိုက်မှုနည်းပြီး DLP တိုးတက်မှုများသည် အကြောင်းအရာများကို နားလည်မှုအပေါ် အခြေခံထားသည်။ ထိရောက်စေရန်၊ DLP ထုတ်ကုန်များသည် အကြောင်းအရာနှင့် အကြောင်းအရာနှစ်ခုလုံးကို အသိအမှတ်ပြုရပါမည်။ ထို့ကြောင့် ထုတ်လုပ်သူအများအပြားသည် UEBA လုပ်ဆောင်နိုင်စွမ်းကို ၎င်းတို့၏ဖြေရှင်းချက်များတွင် ပေါင်းစပ်ရန် စတင်လာကြသည်။

• ဝန်ထမ်းစောင့်ကြည့်ခြင်း။ ဝန်ထမ်း၏ လုပ်ဆောင်ချက်များကို မှတ်တမ်းတင်ခြင်းနှင့် ပြန်လည်ပြသခြင်း စွမ်းရည်သည် အများအားဖြင့် တရားစီရင်မှုများအတွက် သင့်လျော်သော ဒေတာဖော်မတ် (လိုအပ်ပါက) ဖြစ်သည်။

  သုံးစွဲသူများကို အဆက်မပြတ် စောင့်ကြည့်စစ်ဆေးခြင်းသည် လူကိုယ်တိုင် စစ်ထုတ်ခြင်းနှင့် လူသားခွဲခြမ်းစိတ်ဖြာမှု လိုအပ်သည့် များပြားသော ဒေတာပမာဏကို ထုတ်ပေးလေ့ရှိသည်။ ထို့ကြောင့်၊ UEBA သည် ဤဖြေရှင်းချက်များ၏ စွမ်းဆောင်ရည်ကို မြှင့်တင်ရန်နှင့် အန္တရာယ်များသော ဖြစ်ရပ်များကိုသာ ရှာဖွေရန် စောင့်ကြည့်ရေးစနစ်များအတွင်းတွင် အသုံးပြုပါသည်။

• အဆုံးမှတ်လုံခြုံရေး - Endpoint detection and response (EDR) solutions နှင့် endpoint protection platforms (EPP) သည် အားကောင်းသော instrumentation နှင့် operating system telemetry ကို ပံ့ပိုးပေးပါသည်။
  စက်ပစ္စည်းများ

  Built-in UEBA လုပ်ဆောင်ချက်ကို ပံ့ပိုးပေးရန်အတွက် အသုံးပြုသူနှင့် ဆက်စပ်သော တယ်လီမီတာကို ခွဲခြမ်းစိတ်ဖြာနိုင်သည်။

• အွန်လိုင်း လိမ်လည်မှု - အွန်လိုင်းလိမ်လည်မှုရှာဖွေခြင်းဖြေရှင်းချက်သည် သုံးစွဲသူ၏အကောင့်ကို လိမ်လည်လှည့်ဖြားခြင်း၊ မဲလ်ဝဲ သို့မဟုတ် လုံခြုံမှုမရှိသောချိတ်ဆက်မှုများ/ဘရောက်ဆာအသွားအလာကြားဖြတ်ခြင်းမှ ဖောက်သည်၏အကောင့်ကို အပေးအယူလုပ်ခြင်းတို့ကို ညွှန်ပြသည့် သွေဖည်သည့်လုပ်ဆောင်ချက်ကို ရှာဖွေတွေ့ရှိသည်။

  လိမ်လည်မှုဖြေရှင်းချက်အများစုသည် UEBA ၏အနှစ်သာရ၊ ငွေပေးငွေယူခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် စက်ပစ္စည်းတိုင်းတာခြင်းတို့ကို အသုံးပြုပြီး အထောက်အထားဒေတာဘေ့စ်ရှိ ဆက်ဆံရေးများကို ကိုက်ညီခြင်းဖြင့် ၎င်းတို့အား ပိုမိုအဆင့်မြင့်သောစနစ်များဖြင့် ဖြည့်ဆည်းပေးသည်။

• IAM နှင့် ဝင်ရောက်ထိန်းချုပ်မှု - Gartner သည် သန့်စင်ရောင်းချသူများနှင့် ပေါင်းစည်းပြီး ၎င်းတို့၏ ထုတ်ကုန်များတွင် UEBA လုပ်ဆောင်နိုင်စွမ်းအချို့ကို တည်ဆောက်ရန်အတွက် ဝင်ရောက်ထိန်းချုပ်မှုစနစ်ရောင်းချသူများအကြား ဆင့်ကဲဖြစ်စဉ်ကို မှတ်သားထားသည်။
• IAM နှင့် Identity Governance and Administration (IGA) စနစ်များ မမှန်မကန်ရှာဖွေခြင်း၊ အလားတူအဖွဲ့အစည်းများ၏ တက်ကြွသောအုပ်စုခွဲခွဲခြမ်းစိတ်ဖြာခြင်း၊ အကောင့်ဝင်ခြင်းဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် ဝင်ရောက်ကြည့်ရှုခြင်းဆိုင်ရာ မူဝါဒခွဲခြမ်းစိတ်ဖြာခြင်းကဲ့သို့သော အပြုအမူဆိုင်ရာနှင့် အထောက်အထားခွဲခြမ်းစိတ်ဖြာမှုအခြေအနေများကို လွှမ်းခြုံရန် UEBA ကို အသုံးပြုပါ။
• IAM နှင့် အခွင့်ထူးခံ Access Management (PAM) - စီမံခန့်ခွဲရေးအကောင့်များအသုံးပြုမှုကို စောင့်ကြည့်စစ်ဆေးခြင်း၏ အခန်းကဏ္ဍကြောင့် PAM ဖြေရှင်းချက်များတွင် စီမံခန့်ခွဲရေးအကောင့်များကို မည်ကဲ့သို့၊ အဘယ်ကြောင့်၊ မည်သည့်အချိန်တွင်၊ မည်သည့်နေရာတွင် အသုံးပြုကြောင်းပြသရန် telemetry ရှိသည်။ စီမံခန့်ခွဲသူများ၏ မမှန်မကန်ပြုမူမှုများ သို့မဟုတ် အန္တရာယ်ရှိသော ရည်ရွယ်ချက်ရှိနေခြင်းတို့အတွက် UEBA ၏ တပ်ဆင်လုပ်ဆောင်နိုင်စွမ်းကို အသုံးပြု၍ ဤဒေတာကို ခွဲခြမ်းစိတ်ဖြာနိုင်သည်။
• ထုတ်လုပ်သူ NTA (Network Traffic Analysis) - ကော်ပိုရိတ်ကွန်ရက်များပေါ်တွင် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကို ရှာဖွေဖော်ထုတ်ရန် စက်သင်ယူမှု၊ အဆင့်မြင့်ပိုင်းခြားစိတ်ဖြာချက်နှင့် စည်းမျဉ်းအခြေခံ ထောက်လှမ်းမှုတို့ကို ပေါင်းစပ်အသုံးပြုပါ။

  NTA ကိရိယာများသည် အရင်းအမြစ်အသွားအလာနှင့်/သို့မဟုတ် စီးဆင်းမှုမှတ်တမ်းများ (ဥပမာ NetFlow) ကို စဉ်ဆက်မပြတ် ခွဲခြမ်းစိတ်ဖြာပြီး ပုံမှန်ကွန်ရက်အပြုအမူကို ထင်ဟပ်စေသော မော်ဒယ်များကို တည်ဆောက်ရန်၊ entity အပြုအမူပိုင်းခြားစိတ်ဖြာမှုအပေါ် အဓိကအာရုံစိုက်သည်။

• စီရမ်ရိ - ယခုအခါ SIEM ရောင်းချသူအများအပြားတွင် SIEM သို့မဟုတ် သီးခြား UEBA မော်ဂျူးအဖြစ် တည်ဆောက်ထားသော အဆင့်မြင့်ဒေတာခွဲခြမ်းစိတ်ဖြာမှုလုပ်ဆောင်နိုင်စွမ်းရှိသည်။ 2018 နှင့် 2019 ခုနှစ်အတွင်း ယခုအချိန်အထိ ဆောင်းပါးတွင် ဆွေးနွေးထားသည့်အတိုင်း SIEM နှင့် UEBA လုပ်ဆောင်နိုင်စွမ်းအကြား နယ်နိမိတ်မျဉ်းများ ဆက်တိုက် မှုန်ဝါးနေပါသည်။ "ခေတ်သစ် SIEM အတွက် နည်းပညာ ထိုးထွင်းသိမြင်မှု". SIEM စနစ်များသည် ခွဲခြမ်းစိတ်ဖြာမှုများဖြင့် လုပ်ဆောင်ရာတွင် ပိုကောင်းလာပြီး ပိုမိုရှုပ်ထွေးသော အပလီကေးရှင်းအခြေအနေများကို ပေးဆောင်သည်။

UEBA လျှောက်လွှာအခြေအနေများ

UEBA ဖြေရှင်းချက်များသည် ပြဿနာများစွာကို ဖြေရှင်းပေးနိုင်သည်။ သို့သော်လည်း၊ Gartner သုံးစွဲသူများသည် ပင်မအသုံးပြုမှုကိစ္စတွင် အသုံးပြုသူ၏အပြုအမူနှင့် အခြားအရာများကြားတွင် မကြာခဏဆက်စပ်မှုများကို ပြသခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ရရှိနိုင်သော ခြိမ်းခြောက်မှုအမျိုးအစားအမျိုးမျိုးကို ရှာဖွေခြင်းတွင် ပါဝင်သည်ဟု သဘောတူညီသည်-

• ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်းနှင့် ဒေတာရွေ့လျားခြင်း၊
• အခွင့်ထူးခံအသုံးပြုသူများ၏ သံသယဖြစ်ဖွယ်အပြုအမူများ၊ ဝန်ထမ်းများ၏ အန္တရာယ်ရှိသော သို့မဟုတ် ခွင့်ပြုချက်မရှိဘဲ လုပ်ဆောင်မှုများ၊
• ပုံမှန်မဟုတ်သောဝင်ရောက်ခွင့်နှင့် cloud အရင်းအမြစ်များကိုအသုံးပြုခြင်း၊
• နှင့်အခြားသူများ။

UEBA သည် တရားမျှတနိုင်သည့်အတွက် လိမ်လည်မှု သို့မဟုတ် ဝန်ထမ်းစောင့်ကြည့်ခြင်းကဲ့သို့သော ပုံမှန်မဟုတ်သော ဆိုက်ဘာလုံခြုံရေးအသုံးပြုမှုကိစ္စများတွင်လည်း အများအပြားရှိပါသည်။ သို့ရာတွင်၊ ၎င်းတို့သည် အိုင်တီနှင့် သတင်းအချက်အလက်လုံခြုံရေးပြင်ပမှ ဒေတာအရင်းအမြစ်များ သို့မဟုတ် ဤဧရိယာကို နက်နဲစွာနားလည်သဘောပေါက်သော သီးခြားခွဲခြမ်းစိတ်ဖြာမှုပုံစံများကို လိုအပ်ပါသည်။ UEBA ထုတ်လုပ်သူများနှင့် ၎င်းတို့၏ဖောက်သည်များ သဘောတူညီထားသည့် အဓိကအခြေအနေများနှင့် အက်ပ်ငါးခုကို အောက်တွင်ဖော်ပြထားသည်။

"Malicious Insider"

ဤဇာတ်လမ်းကို အကျုံးဝင်သော UEBA ဖြေရှင်းချက်ပေးသူများသည် ပုံမှန်မဟုတ်သော၊ "ဆိုးသော" သို့မဟုတ် အန္တရာယ်ရှိသောအပြုအမူအတွက် ဝန်ထမ်းများနှင့် ယုံကြည်ရသော ကန်ထရိုက်တာများကိုသာ စောင့်ကြည့်စစ်ဆေးပါသည်။ ဤကျွမ်းကျင်မှုနယ်ပယ်ရှိ ရောင်းချသူများသည် ဝန်ဆောင်မှုအကောင့်များ သို့မဟုတ် အခြားလူသားမဟုတ်သည့် အဖွဲ့အစည်းများ၏ အပြုအမူကို စောင့်ကြည့်ခြင်း သို့မဟုတ် ခွဲခြမ်းစိတ်ဖြာခြင်းမပြုပါ။ ဤအချက်ကြောင့် ဟက်ကာများသည် လက်ရှိအကောင့်များကို သိမ်းပိုက်သည့် အဆင့်မြင့်ခြိမ်းခြောက်မှုများကို ရှာဖွေရန် အာရုံစူးစိုက်ခြင်းမရှိပေ။ ယင်းအစား၊ ၎င်းတို့သည် အန္တရာယ်ရှိသော လုပ်ငန်းများတွင် ပါဝင်သည့် ဝန်ထမ်းများကို ခွဲခြားသတ်မှတ်ရန် ရည်ရွယ်သည်။

အခြေခံအားဖြင့်၊ "malicious insider" ၏အယူအဆသည် ၎င်းတို့၏အလုပ်ရှင်အား ပျက်စီးစေမည့်နည်းလမ်းများကိုရှာဖွေသော မသမာသောစိတ်ဖြင့် ယုံကြည်စိတ်ချရသောအသုံးပြုသူများထံမှ ပေါက်ဖွားလာခြင်းဖြစ်သည်။ မလိုလားအပ်သော ရည်ရွယ်ချက်သည် တိုင်းတာရန် ခက်ခဲသောကြောင့်၊ ဤအမျိုးအစားရှိ အကောင်းဆုံး ရောင်းချသူများသည် စာရင်းစစ်မှတ်တမ်းများတွင် အလွယ်တကူမရနိုင်သော ဆက်စပ်အပြုအမူဆိုင်ရာ အချက်အလက်များကို ပိုင်းခြားစိတ်ဖြာပါသည်။

ဤနေရာရှိ ဖြေရှင်းချက်ပေးသူများသည် အပြုအမူအတွက် အကြောင်းအရာကို ပံ့ပိုးပေးရန်အတွက် အီးမေးလ်အကြောင်းအရာ၊ ကုန်ထုတ်စွမ်းအားဆိုင်ရာ အစီရင်ခံစာများ သို့မဟုတ် ဆိုရှယ်မီဒီယာအချက်အလက်များကဲ့သို့သော ဖွဲ့စည်းတည်ဆောက်ပုံမထားသောဒေတာများကို အကောင်းဆုံးထည့်သွင်းပြီး ခွဲခြမ်းစိတ်ဖြာနိုင်သည်။

အပေးအယူလုပ်ထားသော အတွင်းလူနှင့် ထိုးဖောက်ဝင်ရောက်ခြိမ်းခြောက်မှုများ

စိန်ခေါ်မှုမှာ တိုက်ခိုက်သူသည် အဖွဲ့အစည်းသို့ဝင်ရောက်ခွင့်ရပြီး IT အခြေခံအဆောက်အအုံအတွင်း စတင်လှုပ်ရှားသည်နှင့် "မကောင်းတဲ့" အပြုအမူကို လျင်မြန်စွာ ရှာဖွေပြီး ခွဲခြမ်းစိတ်ဖြာရန်မှာ စိန်ခေါ်မှုဖြစ်သည်။
အတည်မပြုနိုင်သောခြိမ်းခြောက်မှုများ (APT) သည် အမည်မသိ သို့မဟုတ် အပြည့်အဝနားမလည်သေးသည့် ခြိမ်းခြောက်မှုများကဲ့သို့၊ ရှာဖွေတွေ့ရှိရန် အလွန်ခက်ခဲပြီး တရားဝင်အသုံးပြုသူ၏ လုပ်ဆောင်ချက် သို့မဟုတ် ဝန်ဆောင်မှုအကောင့်များ၏ နောက်ကွယ်တွင် ဝှက်ထားလေ့ရှိသည်။ ထိုသို့သောခြိမ်းခြောက်မှုများသည် အများအားဖြင့် ရှုပ်ထွေးသောလည်ပတ်မှုပုံစံတစ်ခုရှိပါသည် (ဥပမာ၊ ဆောင်းပါးကိုကြည့်ပါ၊ Cyber ​​Kill Chain ကို ဖြေရှင်းခြင်း။") သို့မဟုတ် ၎င်းတို့၏ အပြုအမူကို အန္တရာယ်အဖြစ် အကဲဖြတ်ခြင်း မရှိသေးပါ။ ၎င်းသည် ရိုးရှင်းသော ခွဲခြမ်းစိတ်ဖြာမှု (ဥပမာ၊ ပုံစံများ၊ အဆင့်သတ်မှတ်ချက်များ၊ သို့မဟုတ် ဆက်စပ်မှုစည်းမျဉ်းများကဲ့သို့) ကိုအသုံးပြု၍ ရှာဖွေရန် ခက်ခဲစေသည်။

သို့သော်၊ ဤကျူးကျော်ဝင်ရောက်ခြိမ်းခြောက်မှုများသည် မကြာခဏဆိုသလို သံသယမရှိသောအသုံးပြုသူများ သို့မဟုတ် အဖွဲ့အစည်းများ (အပေးအယူခံရသောအတွင်းခံများ) ပါ၀င်သည့် စံမဟုတ်သောအပြုအမူကိုဖြစ်ပေါ်စေသည်။ UEBA နည်းပညာများသည် ထိုခြိမ်းခြောက်မှုများကို ထောက်လှမ်းရန်၊ အချက်ပြမှုမှ ဆူညံသံအချိုးကို မြှင့်တင်ရန်၊ အကြောင်းကြားချက် အသံပမာဏကို စုစည်းပြီး လျှော့ချရန်၊ ကျန်ရှိနေသည့် သတိပေးချက်များကို ဦးစားပေးလုပ်ဆောင်ကာ ထိရောက်သော အဖြစ်အပျက်တုံ့ပြန်မှုနှင့် စုံစမ်းစစ်ဆေးမှုကို လွယ်ကူချောမွေ့စေရန်အတွက် စိတ်ဝင်စားဖွယ်အခွင့်အလမ်းများစွာကို ပေးဆောင်ပါသည်။

ဤပြဿနာဧရိယာကို ပစ်မှတ်ထားသော UEBA စျေးသည်များသည် အဖွဲ့အစည်း၏ SIEM စနစ်များနှင့် နှစ်ထပ်လမ်းညွန် ပေါင်းစည်းလေ့ရှိသည်။

ဒေတာထုတ်ယူခြင်း။

ဤကိစ္စရပ်တွင် လုပ်ဆောင်ရမည့်တာဝန်မှာ အဖွဲ့အစည်းပြင်ပသို့ ဒေတာများ လွှဲပြောင်းနေကြောင်း သိရှိရန်ဖြစ်သည်။
ရောင်းချသူများသည် ဤစိန်ခေါ်မှုကို အာရုံစိုက်လေ့ရှိပြီး ပုံမှန်အားဖြင့် DLP သို့မဟုတ် DAG စွမ်းရည်များကို မမှန်မကန်သိရှိနိုင်မှုနှင့် အဆင့်မြင့်ခွဲခြမ်းစိတ်ဖြာမှုများဖြင့် အသုံးချပြီး အချက်ပြမှုမှ ဆူညံသံအချိုးကို ပိုမိုကောင်းမွန်စေခြင်း၊ အကြောင်းကြားချက်ပမာဏကို စုစည်းခြင်းနှင့် ကျန်ရှိသည့် အစပျိုးမှုများကို ဦးစားပေးဆောင်ရွက်ခြင်း။ အပိုဆောင်းအကြောင်းအရာအတွက်၊ ရောင်းချသူများသည် ပုံမှန်အားဖြင့် ကွန်ရက်အသွားအလာ (ဥပမာ ဝဘ်ပရောက်စီများကဲ့သို့) နှင့် အဆုံးမှတ်ဒေတာအပေါ်တွင် ပိုမိုမှီခိုနေရသောကြောင့်၊ ဤဒေတာရင်းမြစ်များကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ဒေတာထုတ်ယူခြင်းဆိုင်ရာ စုံစမ်းစစ်ဆေးမှုများတွင် အထောက်အကူဖြစ်စေနိုင်သည်။

ဒေတာထုတ်ယူမှု ထောက်လှမ်းမှုကို အဖွဲ့အစည်းအတွင်း ခြိမ်းခြောက်နေသော အတွင်းလူများနှင့် ပြင်ပဟက်ကာများကို ဖမ်းရန် အသုံးပြုသည်။

အခွင့်ထူးခံဝင်ရောက်ခွင့်ကို ခွဲခြားသတ်မှတ်ခြင်းနှင့် စီမံခန့်ခွဲခြင်း။

ကျွမ်းကျင်မှုနယ်ပယ်ရှိ လွတ်လပ်သော UEBA ဖြေရှင်းချက်ထုတ်လုပ်သူများသည် အလွန်အကျွံအခွင့်အရေးများ သို့မဟုတ် မမှန်မကန်ဝင်ရောက်မှုကို ဖော်ထုတ်ရန်အတွက် အသုံးပြုသူ၏အပြုအမူကို ဖော်ထုတ်ပြီးသော အခွင့်အရေးစနစ်၏ နောက်ခံကို စောင့်ကြည့်ပြီး ခွဲခြမ်းစိတ်ဖြာပါသည်။ ၎င်းသည် အခွင့်ထူးခံနှင့် ဝန်ဆောင်မှုအကောင့်များအပါအဝင် သုံးစွဲသူများနှင့် အကောင့်အမျိုးအစားအားလုံးကို အကျုံးဝင်သည်။ အဖွဲ့အစည်းများသည် လိုအပ်သည်ထက် ပိုမိုမြင့်မားသော အကောင့်များနှင့် အသုံးပြုသူအခွင့်အရေးများကို ဖယ်ရှားရန်အတွက်လည်း UEBA ကို အသုံးပြုပါသည်။

အဖြစ်အပျက်ကို ဦးစားပေးဆောင်ရွက်ခြင်း

ဤတာဝန်၏ ရည်ရွယ်ချက်မှာ မည်သည့်ဖြစ်ရပ်များ သို့မဟုတ် ဖြစ်နိုင်ခြေရှိသော အဖြစ်အပျက်များကို ဦးစွာဖြေရှင်းသင့်သည်ကို နားလည်ရန် ၎င်းတို့၏ နည်းပညာအစုအဝေးမှ ဖြေရှင်းချက်များမှ ထုတ်ပေးသော အသိပေးချက်များကို ဦးစားပေးလုပ်ဆောင်ရန်ဖြစ်သည်။ UEBA နည်းစနစ်နှင့် ကိရိယာများသည် ပေးအပ်ထားသော အဖွဲ့အစည်းအတွက် အထူးစိတ်ပျက်ဖွယ် သို့မဟုတ် အထူးအန္တရာယ်ရှိသော အဖြစ်အပျက်များကို ဖော်ထုတ်ရာတွင် အသုံးဝင်ပါသည်။ ဤကိစ္စတွင်၊ UEBA ယန္တရားသည် လှုပ်ရှားမှုနှင့် ခြိမ်းခြောက်မှုပုံစံများကို အခြေခံအဆင့်ကို အသုံးပြုရုံသာမက ကုမ္ပဏီ၏ အဖွဲ့အစည်းဖွဲ့စည်းပုံဆိုင်ရာ အချက်အလက် (ဥပမာ၊ အရေးကြီးသောအရင်းအမြစ်များ သို့မဟုတ် အခန်းကဏ္ဍများနှင့် ဝန်ထမ်းများ၏ဝင်ရောက်ခွင့်အဆင့်များ) နှင့်လည်း အချက်အလက်များကို ပြည့်ဝစေသည်။

UEBA ဖြေရှင်းချက်များကို အကောင်အထည်ဖော်ရာတွင် ပြဿနာများ

UEBA ဖြေရှင်းချက်များ၏ စျေးကွက်နာကျင်မှုမှာ ၎င်းတို့၏ မြင့်မားသောစျေးနှုန်း၊ ရှုပ်ထွေးသော အကောင်အထည်ဖော်မှု၊ ထိန်းသိမ်းမှုနှင့် အသုံးပြုမှုတို့ဖြစ်သည်။ ကုမ္ပဏီများသည် မတူညီသောအတွင်းပိုင်းပေါ်တယ်အရေအတွက်နှင့် ရုန်းကန်နေရသော်လည်း ၎င်းတို့သည် အခြား console တစ်ခုကို ရရှိနေပါသည်။ ကိရိယာအသစ်တစ်ခုတွင် အချိန်နှင့်ရင်းမြစ်များ၏ ရင်းနှီးမြှုပ်နှံမှုပမာဏသည် လက်ထဲတွင်ရှိသော အလုပ်များနှင့် ၎င်းတို့ကိုဖြေရှင်းရန် လိုအပ်သော ခွဲခြမ်းစိတ်ဖြာမှုအမျိုးအစားများပေါ်တွင်မူတည်ပြီး အများစုမှာ ကြီးမားသောရင်းနှီးမြှုပ်နှံမှုများ လိုအပ်ပါသည်။

ထုတ်လုပ်သူအများအပြားပြောနေသည့်အတိုင်း UEBA သည် အဆုံးတွင် ရက်ပေါင်းများစွာ အဆက်မပြတ်လည်ပတ်နိုင်သော "သတ်မှတ်ပြီး မေ့သွားသည်" ကိရိယာမဟုတ်ပါ။
ဥပမာအားဖြင့် Gartner သုံးစွဲသူများသည် UEBA ပဏာမခြေလှမ်းကို စတင်ရန် ၃ လမှ ၆ လအထိ ကြာကြောင်း သတိပြုပါ။ အဖွဲ့အစည်းတစ်ခုရှိ အတွင်းပိုင်းခြိမ်းခြောက်မှုများကို ဖော်ထုတ်ခြင်းကဲ့သို့သော ပိုမိုရှုပ်ထွေးသောလုပ်ဆောင်စရာများအတွက်၊ ကာလသည် 3 လအထိ တိုးလာသည်။

UEBA အကောင်အထည်ဖော်ရာတွင် အခက်အခဲနှင့် ကိရိယာ၏ အနာဂတ်ထိရောက်မှုအပေါ် လွှမ်းမိုးသည့်အချက်များ-

• အဖွဲ့အစည်းတည်ဆောက်ပုံ၊ ကွန်ရက် topology နှင့် ဒေတာစီမံခန့်ခွဲမှုမူဝါဒများ၏ ရှုပ်ထွေးမှု
• မှန်ကန်သောအသေးစိတ်အဆင့်တွင် မှန်ကန်သောဒေတာရရှိနိုင်မှု
• ရောင်းချသူ၏ ခွဲခြမ်းစိတ်ဖြာမှုဆိုင်ရာ အယ်လဂိုရီသမ်များ၏ ရှုပ်ထွေးမှု—ဥပမာ၊ ကိန်းဂဏန်းဆိုင်ရာ မော်ဒယ်များနှင့် စက်သင်ယူမှုအသုံးပြုမှု ရိုးရှင်းသောပုံစံများနှင့် စည်းမျဉ်းများကို နှိုင်းယှဉ်ခြင်း။
• ကြိုတင်ပြင်ဆင်ထားသော ခွဲခြမ်းစိတ်ဖြာမှု ပမာဏ ပါဝင်သည်- ဆိုလိုသည်မှာ လုပ်ငန်းတစ်ခုစီအတွက် ဒေတာစုဆောင်းရန် လိုအပ်သည့် ထုတ်လုပ်သူ၏ နားလည်မှုနှင့် ခွဲခြမ်းစိတ်ဖြာမှုဆောင်ရွက်ရန် အရေးကြီးဆုံးဖြစ်သည့် ကိန်းရှင်များနှင့် အရည်အချင်းများ စသည်တို့ဖြစ်သည်။
• ထုတ်လုပ်သူသည် လိုအပ်သောဒေတာနှင့် အလိုအလျောက်ပေါင်းစပ်ရန် မည်မျှလွယ်ကူသည်။

  ဥပမာ:

  • UEBA ဖြေရှင်းချက်တစ်ခုသည် SIEM စနစ်အား ၎င်း၏ဒေတာ၏အဓိကရင်းမြစ်အဖြစ် အသုံးပြုပါက၊ SIEM သည် လိုအပ်သောဒေတာရင်းမြစ်များမှ အချက်အလက်များကို စုဆောင်းပါသလား။
  • လိုအပ်သော ဖြစ်ရပ်မှတ်တမ်းများနှင့် အဖွဲ့အစည်းဆိုင်ရာ အကြောင်းအရာအချက်အလက်များကို UEBA ဖြေရှင်းချက်သို့ ပေးပို့နိုင်ပါသလား။
  • SIEM စနစ်သည် UEBA ဖြေရှင်းချက်မှ လိုအပ်သော ဒေတာအရင်းအမြစ်များကို စုဆောင်းထိန်းချုပ်ခြင်းမပြုသေးပါက၊ ၎င်းတို့ကို ထိုနေရာသို့ မည်သို့လွှဲပြောင်းနိုင်မည်နည်း။

• အဖွဲ့အစည်းအတွက် အပလီကေးရှင်းအခြေအနေသည် မည်မျှအရေးကြီးသည်၊ ဒေတာရင်းမြစ်မည်မျှလိုအပ်သနည်း၊ ဤလုပ်ငန်းသည် ထုတ်လုပ်သူ၏ကျွမ်းကျင်မှုနယ်ပယ်နှင့် မည်မျှထပ်နေသနည်း။
• အဖွဲ့အစည်း၏ ရင့်ကျက်မှုနှင့် ပါဝင်ပတ်သက်မှု မည်မျှအတိုင်းအတာအထိ လိုအပ်သည် - ဥပမာ၊ စည်းမျဉ်းများနှင့် ပုံစံများကို ဖန်တီးခြင်း၊ ဖွံ့ဖြိုးတိုးတက်မှုနှင့် ပြုပြင်မွမ်းမံခြင်း၊ အကဲဖြတ်ရန်အတွက် ကိန်းရှင်များထံ အလေးများသတ်မှတ်ခြင်း၊ သို့မဟုတ် အန္တရာယ်အကဲဖြတ်မှုအဆင့်ကို ချိန်ညှိပါ။
• အဖွဲ့အစည်း၏လက်ရှိအရွယ်အစားနှင့် ၎င်း၏အနာဂတ်လိုအပ်ချက်များနှင့် နှိုင်းယှဉ်ပါက ရောင်းချသူ၏ဖြေရှင်းချက်နှင့် ၎င်း၏ဗိသုကာလက်ရာသည် မည်မျှအတိုင်းအတာအထိ ချဲ့ထွင်နိုင်သနည်း။
• အခြေခံမော်ဒယ်များ၊ ပရိုဖိုင်များနှင့် အဓိကအုပ်စုများကို တည်ဆောက်ရန် အချိန်ဖြစ်သည်။ ထုတ်လုပ်သူများသည် "သာမန်" သဘောတရားများကို မသတ်မှတ်မီ ခွဲခြမ်းစိတ်ဖြာမှုပြုလုပ်ရန် အနည်းဆုံး ရက် 30 (နှင့် တစ်ခါတစ်ရံ 90 ရက်အထိ) လိုအပ်တတ်သည်။ သမိုင်းဒေတာကို တစ်ခါတည်းတင်ခြင်းသည် မော်ဒယ်လေ့ကျင့်ရေးကို အရှိန်မြှင့်နိုင်သည်။ အချို့သော စိတ်ဝင်စားစရာကောင်းသော ကိစ္စများသည် ကနဦးဒေတာပမာဏ အနည်းငယ်ဖြင့် စက်သင်ယူခြင်းထက် စည်းမျဉ်းများကို အသုံးပြု၍ ပိုမိုမြန်ဆန်စွာ ဖော်ထုတ်နိုင်သည်။
• တက်ကြွသောအုပ်စုဖွဲ့ခြင်းနှင့် အကောင့်ပရိုဖိုင်ပြုလုပ်ခြင်း (ဝန်ဆောင်မှု/လူ) ကို တည်ဆောက်ရန် လိုအပ်သော အားထုတ်မှုအဆင့်သည် ဖြေရှင်းနည်းများကြားတွင် များစွာကွဲပြားနိုင်သည်။

source: www.habr.com