ProHoster > بلاګ > انټرنیټ خبرونه > د UEBA بازار مړ دی - ژوندی دی UEBA

د UEBA بازار مړ دی - ژوندی دی UEBA

د UEBA بازار مړ دی - ژوندی دی UEBA

نن ورځ موږ به د وروستي پراساس د کارونکي او ادارې چلند تحلیلاتو (UEBA) بازار لنډه کتنه وړاندې کړو ګارټینر څیړنه. د UEBA بازار د ګواښ سره مخ کیدو ټیکنالوژیو لپاره د ګارټینر هایپ سایکل مطابق د "نا امیدۍ مرحلې" په پای کې دی ، د ټیکنالوژۍ بشپړتیا په ګوته کوي. مګر د وضعیت تضاد د UEBA ټیکنالوژیو کې د پانګوونې په ورته وخت کې عمومي وده او د UEBA خپلواکو حلونو ورک شوي بازار کې پروت دی. ګارټینر وړاندوینه کوي چې UEBA به د اړونده معلوماتو امنیت حلونو فعالیت برخه شي. د "UEBA" اصطلاح به احتمالا له کاره ولویږي او د یو بل لنډیز لخوا بدل شي چې د غوښتنلیک په محدود ساحه باندې تمرکز کوي (د مثال په توګه "د کارونکي چلند تحلیل")، ورته ورته غوښتنلیک ساحه (د مثال په توګه "د معلوماتو تحلیل")، یا په ساده ډول یو څه شي. نوې بوز کلمه (د مثال په توګه، د "مصنوعي استخباراتو" اصطلاح [AI] په زړه پورې ښکاري، که څه هم دا د UEBA عصري جوړونکو ته هیڅ معنی نه ورکوي).

د ګارټینر مطالعې کلیدي موندنې په لاندې ډول لنډیز کیدی شي:

  • د کاروونکو او ادارو د چلند تحلیلونو لپاره د بازار بشپړتیا د دې حقیقت لخوا تایید شوې چې دا ټیکنالوژي د متوسط ​​​​او لوی کارپوریټ برخې لخوا د یو شمیر سوداګریزو ستونزو حل کولو لپاره کارول کیږي؛
  • د UEBA تحلیلي وړتیاوې د اړونده معلوماتو امنیت ټیکنالوژیو پراخه لړۍ کې رامینځته شوي ، لکه د بادل لاسرسي خوندي بروکرز (CASBs) ، د پیژندنې مدیریت او اداره (IGA) SIEM سیسټمونه؛
  • د UEBA پلورونکو په شاوخوا کې هیپ او د "مصنوعي استخباراتو" اصطلاح غلط کارول د پیرودونکو لپاره دا ستونزمن کوي ​​​​چې د تولید کونکو ټیکنالوژیو او د ازمایښتي پروژې ترسره کولو پرته د حلونو فعالیت ترمینځ اصلي توپیر پوه شي؛
  • پیرودونکي یادونه کوي چې د UEBA حلونو پلي کولو وخت او ورځنۍ کارول کیدی شي د تولید کونکي ژمنې په پرتله ډیر کار ګران او وخت مصرف وي ، حتی کله چې یوازې د ګواښ کشف کولو لومړني ماډلونو په پام کې نیولو سره. د دودیز یا څنډې کارولو قضیې اضافه کول خورا ستونزمن کیدی شي او د ډیټا ساینس او ​​تحلیلونو کې تخصص ته اړتیا ولري.

د ستراتیژیک بازار پراختیا وړاندوینه:

  • تر 2021 پورې، د کارونکي او ادارې چلند تحلیلاتو (UEBA) سیسټمونو بازار به د جلا ساحې په توګه شتون ولري او د UEBA فعالیت سره به نورو حلونو ته واړوي؛
  • تر 2020 پورې، د UEBA د ټولو ګمارلو 95٪ به د پراخ امنیتي پلیټ فارم برخه وي.

د UEBA حلونو تعریف

د UEBA حلونه د کاروونکو او نورو ادارو فعالیت ارزولو لپاره جوړ شوي تحلیلونه کاروي (لکه کوربه ، غوښتنلیکونه ، د شبکې ترافیک او ډیټا پلورنځي).
دوی ګواښونه او احتمالي پیښې کشف کوي، په ځانګړې توګه د وخت په اوږدو کې په ورته ګروپونو کې د کاروونکو او ادارو د معیاري پروفایل او چلند په پرتله غیر معمولي فعالیت استازیتوب کوي.

د تصدۍ په برخه کې د کارونې ترټولو عام قضیې د ګواښ کشف او غبرګون دي، په بیله بیا د داخلي ګواښونو کشف او ځواب (اکثره جوړ شوي داخلي؛ ځینې وختونه داخلي برید کونکي).

UEBA داسې دی پریکړه، او فعالیتپه یوه ځانګړي وسیله کې جوړ شوی:

  • حل د "خالص" UEBA پلیټ فارمونو جوړونکي دي ، پشمول هغه پلورونکي چې د SIEM حلونه په جلا توګه پلوري. د دواړو کاروونکو او ادارو د چلند تحلیلونو کې د سوداګرۍ ستونزو پراخه لړۍ باندې تمرکز.
  • امبیډ شوي - تولید کونکي / څانګې چې د UEBA دندې او ټیکنالوژي د دوی حلونو کې مدغم کوي. معمولا د سوداګریزو ستونزو په یو مشخص سیټ تمرکز کوي. په دې حالت کې، UEBA د کاروونکو او / یا ادارو د چلند تحلیل لپاره کارول کیږي.

ګارټینر UEBA ته په دریو محورونو کې ګوري ، پشمول د ستونزې حل کونکي ، تحلیلونه ، او د معلوماتو سرچینې (شکل وګورئ).

د UEBA بازار مړ دی - ژوندی دی UEBA

"خالص" UEBA پلیټ فارمونه د جوړ شوي UEBA په مقابل کې

ګارټینر یو "خالص" UEBA پلیټ فارم په پام کې نیسي چې حلونه وي:

  • ډیری مشخصې ستونزې حل کړئ، لکه د امتیاز لرونکي کاروونکو څارنه یا د سازمان څخه بهر د معلوماتو تولید کول، او نه یوازې د "د کارونکي غیر غیر معمولي فعالیت څارنه"؛
  • د پیچلو تحلیلونو کارول شامل دي، اړینه ده چې د بنسټیزو تحلیلي طریقو پر بنسټ وي؛
  • د معلوماتو راټولولو لپاره ډیری اختیارونه چمتو کوي، په شمول د ډیټا سرچینې میکانیزمونه او د لاګ مدیریت وسیلو، ډیټا لیک او/یا SIEM سیسټمونو په شمول، پرته له دې چې په زیربنا کې د جلا اجنټانو ځای پرځای کولو لازمي اړتیا وي؛
  • پیرود کیدی شي او د یوازینۍ حل په توګه ځای په ځای شي نه د شاملولو
    د نورو محصولاتو ترکیب.

لاندې جدول دوه لارې پرتله کوي.

جدول 1. "خالص" UEBA حلونه د جوړ شوي حلونو په مقابل کې

وېشنيزه "خالص" UEBA پلیټ فارمونه د جوړ شوي UEBA سره نور حلونه
ستونزه به حل شي د کارونکي چلند او ادارو تحلیل. د معلوماتو نشتوالی ممکن UEBA محدود کړي ترڅو یوازې د کاروونکو یا ادارو چلند تحلیل کړي.
ستونزه به حل شي د ډیری ستونزو حل کولو لپاره خدمت کوي په محدودو دندو کې تخصص لري
انټرنېټونه د مختلف تحلیلي میتودونو په کارولو سره د بې نظمۍ کشف - په ځانګړي توګه د احصایوي ماډلونو او ماشین زده کړې له لارې ، د قواعدو او لاسلیکونو سره یوځای. د جوړ شوي تحلیلونو سره راځي ترڅو د دوی او همکارانو پروفایلونو سره د کارونکي او ادارې فعالیت رامینځته او پرتله کړي. خالص UEBA ته ورته، مګر تحلیل یوازې کاروونکو او / یا ادارو پورې محدود کیدی شي.
انټرنېټونه پرمختللي تحلیلي وړتیاوې، یوازې د مقرراتو لخوا محدود ندي. د مثال په توګه، د ادارو د متحرک ګروپ کولو سره د کلستر کولو الګوریتم. د "خالص" UEBA سره ورته، مګر په ځینو ایمبیډ شوي ګواښ ماډلونو کې د ادارې ګروپ کول یوازې په لاسي ډول بدلیدلی شي.
انټرنېټونه د کاروونکو او نورو ادارو د فعالیت او چلند اړیکه (د مثال په توګه د بایسیان شبکې کارول) او د انفرادي خطر چلند راټولول د غیر معمولي فعالیت پیژندلو لپاره. خالص UEBA ته ورته، مګر تحلیل یوازې کاروونکو او / یا ادارو پورې محدود کیدی شي.
د معلوماتو سرچینې په مستقیم ډول د جوړ شوي میکانیزمونو یا موجوده ډیټا پلورنځیو لکه SIEM یا ډیټا لیک له لارې د معلوماتو سرچینو څخه د کاروونکو او ادارو پیښو ترلاسه کول. د معلوماتو ترلاسه کولو میکانیزمونه معمولا یوازې مستقیم وي او یوازې کارونکي او/یا نور ارګانونه اغیزه کوي. د لاګ مدیریت وسیلې مه کاروئ / SIEM / ډیټا لیک.
د معلوماتو سرچینې حل باید نه یوازې د شبکې ټرافیک باندې د ډیټا اصلي سرچینې په توګه تکیه وکړي، او نه باید د ټیلی میټري راټولولو لپاره یوازې په خپلو اجنټانو تکیه وکړي. حل کولی شي یوازې د شبکې ترافیک باندې تمرکز وکړي (د مثال په توګه ، NTA - د شبکې ترافیک تحلیل) او/یا خپل اجنټان په پای وسیلو کې وکاروي (د مثال په توګه ، د کارمندانو نظارت اسانتیاوې).
د معلوماتو سرچینې د شرایطو سره د کارونکي / ادارې ډیټا ډکول. په ریښتیني وخت کې د جوړښت شوي پیښو راټولولو ملاتړ کوي ، په بیله بیا د آی ټي لارښودونو څخه جوړښت شوي / غیر جوړښت شوي همغږي ډیټا - د مثال په توګه ، فعال لارښود (AD) ، یا د ماشین لوستلو وړ معلوماتو سرچینې (د مثال په توګه ، HR ډیټابیسونه). د خالص UEBA سره ورته، مګر د اړونده معلوماتو ساحه ممکن د قضیې څخه قضیه توپیر ولري. AD او LDAP خورا عام متناسب ډیټا پلورنځي دي چې د امبیډ شوي UEBA حلونو لخوا کارول کیږي.
شتون لیست شوي ځانګړتیاوې د یو واحد محصول په توګه وړاندې کوي. دا ناشونې ده چې د جوړ شوي UEBA فعالیت پیرود پرته د بهرني حل پیرودلو پرته چې پکې جوړ شوی وي.
سرچینه: ګارټینر (می 2019)

په دې توګه، د ځینو ستونزو د حل لپاره، سرایت شوي UEBA کولی شي د UEBA بنسټیز تحلیلونه وکاروي (د بیلګې په توګه، ساده غیر څارل شوي ماشین زده کړه)، مګر په ورته وخت کې، دقیق اړین معلوماتو ته د لاسرسي له امله، دا د "خالص" په پرتله خورا اغیزمن کیدی شي. د UEBA حل. په ورته وخت کې، "خالص" UEBA پلیټ فارمونه، لکه څنګه چې تمه کیږي، د جوړ شوي UEBA وسیلې په پرتله د اصلي پوهې په توګه ډیر پیچلي تحلیلونه وړاندې کوي. دا پایلې په 2 جدول کې لنډیز شوي.

جدول 2. د "خالص" او جوړ شوي UEBA ترمنځ د توپیر پایله

وېشنيزه "خالص" UEBA پلیټ فارمونه د جوړ شوي UEBA سره نور حلونه
انټرنېټونه د بیالبیلو سوداګریزو ستونزو د حل کولو لپاره د تطبیق وړتیا د UEBA د کارونو یو ډیر نړیوال سیټ معنی لري چې د ډیرو پیچلو تحلیلونو او ماشین زده کړې ماډلونو باندې ټینګار کوي. د سوداګرۍ ستونزو کوچنۍ سیټ باندې تمرکز پدې معنی دی چې خورا ځانګړي ځانګړتیاوې دي چې د ساده منطق سره د غوښتنلیک ځانګړي ماډلونو باندې تمرکز کوي.
انټرنېټونه د هر غوښتنلیک سناریو لپاره د تحلیلي ماډل تنظیم کول اړین دي. تحلیلي ماډلونه د هغه وسیلې لپاره دمخه تنظیم شوي چې UEBA پکې جوړ شوی. د جوړ شوي UEBA سره یوه وسیله عموما د ځینې سوداګرۍ ستونزو حل کولو کې ګړندي پایلې ترلاسه کوي.
د معلوماتو سرچینې د کارپوریټ زیربنا له ټولو کونجونو څخه ډیټا سرچینو ته لاسرسی. د معلوماتو لږې سرچینې، معمولا د دوی لپاره د اجنټانو شتون یا وسیله پخپله د UEBA دندو سره محدود وي.
د معلوماتو سرچینې په هر لاګ کې موجود معلومات ممکن د معلوماتو سرچینې لخوا محدود وي او ممکن د مرکزي UEBA وسیلې لپاره ټول اړین معلومات ونه لري. د اجنټ لخوا راټول شوي او UEBA ته لیږدول شوي خام ډیټا مقدار او توضیحات په ځانګړي ډول تنظیم کیدی شي.
معمارۍ دا د یوې ادارې لپاره د UEBA بشپړ محصول دی. ادغام د SIEM سیسټم یا ډیټا لیک ظرفیتونو په کارولو سره اسانه دی. د هر یو حل لپاره د UEBA ځانګړتیاو جلا سیټ ته اړتیا لري چې د UEBA جوړ شوي دي. ایمبیډ شوي UEBA حلونه ډیری وختونه د اجنټانو نصبولو او د معلوماتو اداره کولو ته اړتیا لري.
ادغام په هره قضیه کې د نورو وسیلو سره د UEBA حل لاسي ادغام. یو سازمان ته اجازه ورکوي چې د "انالوګونو تر مینځ غوره" طریقې پراساس د ټیکنالوژۍ سټیک رامینځته کړي. د UEBA دندو اصلي بنډلونه دمخه د تولید کونکي لخوا پخپله وسیلې کې شامل شوي. د UEBA ماډل جوړ شوی او نشي ایستل کیدی، نو پیرودونکي نشي کولی دا د خپل یو څه سره بدل کړي.
سرچینه: ګارټینر (می 2019)

UEBA د فعالیت په توګه

UEBA د پای څخه تر پای پورې د سایبر امنیت حلونو ځانګړتیا رامینځته کیږي چې کولی شي د اضافي تحلیلونو څخه ګټه پورته کړي. UEBA دا حلونه تر پښو لاندې کوي، د کاروونکي او / یا د ادارې چلند نمونو پراساس د پرمختللي تحلیلونو ځواکمن پرت چمتو کوي.

اوس مهال په بازار کې ، د UEBA جوړ شوی فعالیت په لاندې حلونو کې پلي کیږي ، د ټیکنالوژیکي ساحې لخوا ګروپ شوي:

  • د معلوماتو متمرکزې پلټنې او محافظت، هغه پلورونکي دي چې د جوړښت شوي او غیر جوړښت شوي ډیټا ذخیره کولو امنیت ښه کولو باندې تمرکز کوي (عرف DCAP).

    د پلورونکو په دې کټګورۍ کې، ګارټینر یادونه، د نورو شیانو په منځ کې، Varonis سایبر امنیت پلیټ فارم، کوم چې د مختلف معلوماتو پلورنځیو کې د غیر منظم شوي ډیټا اجازې ، لاسرسي او کارولو کې بدلونونو نظارت کولو لپاره د کارونکي چلند تحلیل وړاندیز کوي.

  • د CASB سیسټمونه، د بادل میشته SaaS غوښتنلیکونو کې د مختلف ګواښونو پروړاندې محافظت وړاندیز کوي د ناغوښتل شوي وسیلو ، کاروونکو او غوښتنلیک نسخو لپاره د انډول لاسرسي کنټرول سیسټم په کارولو سره کلاوډ خدماتو ته لاسرسي بندولو سره.

    د بازار مخکښ CASB حلونو کې د UEBA وړتیاوې شاملې دي.

  • د DLP حلونه - د سازمان څخه بهر یا د هغې ناوړه ګټه اخیستنې څخه بهر د مهم معلوماتو لیږد کشف کولو تمرکز.

    د DLP پرمختګونه په لویه کچه د مینځپانګې د پوهیدو پراساس دي ، د شرایطو په پوهیدو لږ تمرکز سره لکه کارونکي ، غوښتنلیک ، موقعیت ، وخت ، د پیښو سرعت او نور بهرني عوامل. د اغیزمن کیدو لپاره، د DLP محصولات باید دواړه محتوا او شرایط وپیژني. له همدې امله ډیری تولید کونکي د دوی حلونو کې د UEBA فعالیت ادغام پیل کوي.

  • د کارمندانو څارنه د کارمندانو د کړنو ثبت او بیا پلی کولو وړتیا ده، معمولا د معلوماتو په بڼه کې چې د قانوني اجرااتو لپاره مناسب وي (که اړتیا وي).

    په دوامداره توګه د کاروونکو څارنه اکثرا د ډیټا خورا لوی مقدار رامینځته کوي چې د لاسي فلټر کولو او انساني تحلیلونو ته اړتیا لري. له همدې امله، UEBA د نظارت سیسټمونو دننه کارول کیږي ترڅو د دې حلونو فعالیت ښه کړي او یوازې د لوړ خطر پیښې کشف کړي.

  • د پای ټکی امنیت - د پای ټکي کشف او ځواب (EDR) حلونه او د پای ټکي محافظت پلیټ فارمونه (EPP) ځواکمن وسیلې او عملیاتي سیسټم ټیلی میټري چمتو کوي
    پای وسایل.

    دا ډول کارونکي پورې اړوند ټیلی میټري تحلیل کیدی شي ترڅو د UEBA جوړ شوي فعالیت چمتو کړي.

  • آنلاین درغلۍ - د آنلاین درغلۍ کشف حلونه انحراف فعالیت کشف کوي چې د جعلي ، مالویر ، یا د ناامنه اړیکو / براوزر ترافیک مداخلې استحصال له لارې د پیرودونکي حساب جوړجاړی په ګوته کوي.

    د درغلیو ډیری حلونه د UEBA جوهر کاروي، د لیږد تحلیل او د وسیلې اندازه کول، د ډیرو پرمختللو سیسټمونو سره د پیژندنې ډیټابیس کې د اړیکو د سمون له لارې دوی بشپړوي.

  • IAM او د لاسرسي کنټرول - ګارټینر د لاسرسي کنټرول سیسټم پلورونکو ترمینځ یو ارتقایی رجحان یادونه کوي ترڅو د خالص پلورونکو سره مدغم شي او د دوی محصولاتو کې د UEBA ځینې فعالیت رامینځته کړي.
  • IAM او د پیژندنې حکومتداري او اداره (IGA) سیسټمونه د چلند او پیژندنې تحلیلي سناریوګانو پوښلو لپاره UEBA وکاروئ لکه د انومالي کشف ، د ورته ادارو متحرک ګروپ تحلیل ، د ننوتلو تحلیل ، او د لاسرسي پالیسۍ تحلیل.
  • IAM او د خصوصي لاسرسي مدیریت (PAM) - د اداري حسابونو د کارولو د څارنې د رول له امله، د PAM حلونه ټیلی میټري لري ترڅو وښيي چې څنګه، ولې، کله او چیرته اداري حسابونه کارول شوي. دا ډاټا د UEBA د جوړ شوي فعالیت په کارولو سره د مدیرانو غیر معمولي چلند یا ناوړه ارادې شتون لپاره تحلیل کیدی شي.
  • جوړونکي NTA (د شبکې ترافیک تحلیل) - په کارپوریټ شبکو کې د مشکوک فعالیت پیژندلو لپاره د ماشین زده کړې ، پرمختللي تحلیلونو او قواعدو پراساس کشف ترکیب وکاروئ.

    د NTA وسیلې په دوامداره توګه د سرچینې ترافیک او/یا جریان ریکارډونه تحلیلوي (د مثال په توګه NetFlow) د ماډلونو رامینځته کولو لپاره چې د شبکې نورمال چلند منعکس کوي ، په عمده توګه د ادارې چلند تحلیلونو باندې تمرکز کوي.

  • سییم - د SIEM ډیری پلورونکي اوس د ډیټا تحلیلي فعالیت پرمختللي فعالیت لري چې په SIEM کې جوړ شوی ، یا د جلا UEBA ماډل په توګه. د 2018 په اوږدو کې او تر 2019 کې تر اوسه پورې، د SIEM او UEBA فعالیت ترمنځ د سرحدونو دوامداره ړنګول شتون لري، لکه څنګه چې په مقاله کې بحث شوی "د عصري SIEM لپاره د ټیکنالوژۍ بصیرت". د SIEM سیسټمونه د تحلیلونو سره کار کولو او د غوښتنلیک پیچلي سناریو وړاندیز کولو کې ښه شوي.

د UEBA غوښتنلیک سناریوګانې

د UEBA حلونه کولی شي د ستونزو پراخه لړۍ حل کړي. په هرصورت، د ګارټینر پیرودونکي موافق دي چې د کارونې لومړنۍ قضیه د ګواښونو مختلف کټګوریو کشف کول شامل دي، چې د کاروونکي چلند او نورو ادارو ترمنځ د پرله پسې اړیکو ښودلو او تحلیل کولو سره ترلاسه شوي:

  • معلوماتو ته غیر مجاز لاسرسی او حرکت؛
  • د امتیاز لرونکي کاروونکو شکمن چلند، د کارمندانو ناوړه یا غیر مجاز فعالیت؛
  • غیر معیاري لاسرسی او د بادل سرچینو کارول؛
  • او نور.

د غیر سایبر امنیت کارولو یو شمیر غیر معمولي قضیې هم شتون لري ، لکه درغلي یا د کارمندانو نظارت ، د کوم لپاره چې UEBA ممکن توجیه شي. په هرصورت، دوی ډیری وختونه د IT او معلوماتو امنیت څخه بهر د معلوماتو سرچینو ته اړتیا لري، یا د دې ساحې ژورې پوهې سره ځانګړي تحلیلي ماډلونه. پنځه اصلي سناریوګانې او غوښتنلیکونه چې دواړه د UEBA جوړونکي او د دوی پیرودونکي موافق دي لاندې تشریح شوي.

"ناوړه داخلي"

د UEBA حل چمتو کونکي چې دا سناریو پوښي یوازې د غیر معمولي ، "خراب" یا ناوړه چلند لپاره کارمندان او باوري قراردادیان نظارت کوي. د تخصص په دې برخه کې پلورونکي د خدماتو حسابونو یا نورو غیر انساني ادارو چلند نه څاري یا تحلیل نه کوي. په لویه کچه د دې له امله، دوی د پرمختللو ګواښونو په موندلو تمرکز نه کوي چیرې چې هیکرز موجوده حسابونه نیسي. پرځای یې، دوی موخه دا ده چې هغه کارکوونکي وپیژني چې په ناوړه فعالیتونو کې ښکیل دي.

په لازمي ډول، د "ناوړه داخلي" مفهوم د باور وړ کاروونکو څخه د ناوړه ارادې سره رامینځته کیږي چې د دوی ګمارونکي ته د زیان رسولو لارې لټوي. ځکه چې ناوړه اراده اندازه کول ستونزمن دي، پدې کټګورۍ کې غوره پلورونکي د شرایطو چلند ډاټا تحلیلوي چې د پلټنې په لاګونو کې په اسانۍ سره شتون نلري.

په دې ځای کې د حل چمتو کونکي هم په مناسبه توګه غیر منظم شوي ډاټا اضافه او تحلیلوي، لکه د بریښنالیک منځپانګې، د تولید راپورونه، یا د ټولنیزو رسنیو معلومات، د چلند لپاره شرایط چمتو کولو لپاره.

جوړ شوي داخلي او لاسوهني ګواښونه

ننګونه دا ده چې ژر تر ژره "خراب" چلند کشف او تحلیل کړي کله چې برید کونکي سازمان ته لاسرسی ومومي او د معلوماتي ټیکنالوژۍ زیربنا کې حرکت پیل کړي.
ثابت ګواښونه (APTs)، لکه نامعلوم یا تر اوسه په بشپړه توګه نه پوهیږي ګواښونه، کشف کول خورا ستونزمن دي او ډیری وختونه د مشروع کاروونکي فعالیت یا خدماتو حسابونو تر شا پټوي. دا ډول ګواښونه معمولا پیچلي عملیاتي ماډل لري (وګورئ، د بیلګې په توګه، مقاله " د سایبر وژنې سلسله په نښه کول") یا د دوی چلند لاهم د زیان رسونکي په توګه نه دی ارزول شوی. دا دوی ستونزمن کوي ​​​​چې د ساده تحلیلونو په کارولو سره کشف کړي (لکه د نمونو، حدونو، یا د اړیکو قواعدو سره سمون).

په هرصورت، ډیری دا مداخله کونکي ګواښونه د غیر معیاري چلند پایله ده، چې ډیری وختونه ناڅرګند کاروونکي یا ادارې (یعنې جوړ شوي داخلي) شامل دي. د UEBA تخنیکونه ډیری په زړه پوري فرصتونه وړاندې کوي چې دا ډول ګواښونه کشف کړي، د سیګنال څخه تر شور تناسب ته وده ورکړي، د خبرتیا حجم پیاوړې او کم کړي، پاتې خبرتیاو ته لومړیتوب ورکړي، او د پیښې اغیزمن غبرګون او تحقیقات اسانه کړي.

د UEBA پلورونکي چې د دې ستونزې ساحه په نښه کوي ډیری وختونه د سازمان د SIEM سیسټمونو سره دوه اړخیز ادغام لري.

د معلوماتو افشا کول

پدې حالت کې دنده دا ده چې دا حقیقت کشف کړي چې معلومات د سازمان څخه بهر لیږدول کیږي.
پلورونکي پدې ننګونې تمرکز کوي په عموم ډول د DLP یا DAG وړتیاوې د بې نظمۍ کشف او پرمختللي تحلیلونو سره ګټه پورته کوي ، پدې توګه د سیګنال څخه تر شور تناسب ته وده ورکوي ، د خبرتیا حجم قوي کوي ، او پاتې محرکاتو ته لومړیتوب ورکوي. د اضافي شرایطو لپاره، پلورونکي عموما د شبکې ترافیک (لکه د ویب پراکسي) او پای ټکي ډیټا باندې خورا ډیر تکیه کوي، ځکه چې د دې ډیټا سرچینو تحلیل کولی شي د ډیټا ایستلو تحقیقاتو کې مرسته وکړي.

د معلوماتو افشا کولو کشف د داخلي او بهرني هیکرانو د نیولو لپاره کارول کیږي چې سازمان تهدیدوي.

د امتیازاتو لاسرسي پیژندنه او مدیریت

د تخصص په دې برخه کې د خپلواک UEBA حلونو تولید کونکي د ډیرو امتیازاتو یا غیر معمولي لاسرسي پیژندلو لپاره د دمخه رامینځته شوي حقونو سیسټم شالید پروړاندې د کارونکي چلند څاري او تحلیلوي. دا په ټولو ډولونو کاروونکو او حسابونو باندې تطبیق کیږي، په شمول د امتیازاتو او خدماتو حسابونو. سازمانونه د غیر فعال حسابونو او د کارونکي امتیازاتو څخه د خلاصون لپاره UEBA هم کاروي چې د اړتیا څخه لوړ دي.

د پیښو لومړیتوب

د دې کار هدف د دوی د ټیکنالوژۍ سټک کې د حلونو لخوا رامینځته شوي خبرتیاو ته لومړیتوب ورکول دي ترڅو پوه شي چې کومې پیښې یا احتمالي پیښې باید لومړی په ګوته شي. د UEBA میتودونه او وسیلې د پیښو په پیژندلو کې ګټورې دي چې په ځانګړي ډول غیر معمولي یا په ځانګړي ډول د ورکړل شوي سازمان لپاره خطرناک دي. په دې حالت کې، د UEBA میکانیزم نه یوازې د فعالیت اساس او د ګواښ ماډلونه کاروي، بلکې د شرکت د سازماني جوړښت په اړه د معلوماتو سره ډاټا هم ډکوي (د بیلګې په توګه، مهمې سرچینې یا رولونه او د کارمندانو لاسرسي کچه).

د UEBA حلونو پلي کولو ستونزې

د UEBA حلونو بازار درد د دوی لوړ نرخ ، پیچلي پلي کول ، ساتنه او کارول دي. پداسې حال کې چې شرکتونه د مختلف داخلي پورټلونو شمیر سره مبارزه کوي ، دوی بل کنسول ترلاسه کوي. په نوې وسیلې کې د وخت او سرچینو پانګوونې اندازه په لاس کې دندو او د تحلیلونو ډولونو پورې اړه لري چې د دوی حل کولو لپاره اړین دي ، او ډیری وختونه لوی پانګوونې ته اړتیا لري.

د هغه څه برخلاف چې ډیری تولید کونکي ادعا کوي ، UEBA "دا تنظیم کړئ او هیر یې کړئ" وسیله نه ده چې بیا کولی شي په دوامداره توګه د ورځو لپاره دوام وکړي.
د ګارټینر پیرودونکي، د بیلګې په توګه، یادونه وکړئ چې دا د 3 څخه تر 6 میاشتو پورې وخت نیسي ترڅو د UEBA نوښت له پیل څخه پیل کړي ترڅو د ستونزو د حل کولو لومړنۍ پایلې ترلاسه کړي چې دا حل پلي شوی. د ډیرو پیچلو کارونو لپاره، لکه په یوه اداره کې د داخلي ګواښونو پیژندل، موده 18 میاشتو ته لوړیږي.

هغه فکتورونه چې د UEBA پلي کولو ستونزې او د وسیلې راتلونکي اغیزمنتوب اغیزه کوي:

  • د سازمان جوړښت، د شبکې ټوپولوژي او د معلوماتو مدیریت پالیسۍ پیچلتیا
  • د توضیحاتو په سمه کچه کې د سم معلوماتو شتون
  • د پلورونکي تحلیلي الګوریتم پیچلتیا — د مثال په توګه ، د ساده نمونو او قواعدو په پرتله د احصایوي ماډلونو او ماشین زده کړې کارول.
  • د مخکې ترتیب شوي تحلیلونو مقدار شامل دی - دا د تولید کونکي پوهه ده چې د هرې دندې لپاره کوم ډیټا راټولولو ته اړتیا لري او کوم تغیرات او ځانګړتیاوې د تحلیل ترسره کولو لپاره خورا مهم دي.
  • د تولید کونکي لپاره دا څومره اسانه دی چې په اتوماتيک ډول د اړین معلوماتو سره مدغم شي.

    د مثال په توګه:

    • که د UEBA حل د SIEM سیسټم د خپلو معلوماتو اصلي سرچینې په توګه کاروي، ایا SIEM د اړین معلوماتو سرچینو څخه معلومات راټولوي؟
    • ایا د اړتیا وړ پیښې لاګونه او تنظیمي شرایط ډیټا د UEBA حل ته لیږدول کیدی شي؟
    • که د SIEM سیسټم لاهم د UEBA حل لخوا اړین ډیټا سرچینې راټول او کنټرول نه کړي، نو بیا څنګه هلته لیږدول کیدی شي؟

  • د سازمان لپاره د غوښتنلیک سناریو څومره مهم دی، دا څومره د ډیټا سرچینو ته اړتیا لري، او دا کار څومره د تولید کونکي د تخصص ساحې سره مخ کیږي.
  • د سازماني بشپړتیا او ښکیلتیا کومې درجې ته اړتیا ده - د بیلګې په توګه، د قواعدو او ماډلونو جوړول، پراختیا او اصالح کول؛ د ارزونې لپاره متغیرونو ته د وزن ټاکل؛ یا د خطر ارزونې حد تنظیمول.
  • د سازمان اوسنۍ اندازې او د هغې راتلونکي اړتیاو په پرتله د پلورونکي حل او د هغې جوړښت څومره د توزیع وړ دی.
  • د بنسټیزو ماډلونو، پروفایلونو او کلیدي ګروپونو د جوړولو وخت. تولید کونکي اکثرا لږترلږه 30 ورځو ته اړتیا لري (او ځینې وختونه تر 90 ورځو پورې) د تحلیل ترسره کولو لپاره مخکې لدې چې دوی "نورمال" مفکورې تعریف کړي. یوځل د تاریخي معلوماتو بار کول کولی شي د ماډل روزنې ګړندی کړي. ځینې ​​​​په زړه پورې قضیې د ماشین زده کړې کارولو په پرتله د قواعدو په کارولو سره په چټکۍ سره پیژندل کیدی شي د ابتدايي معلوماتو خورا لږ مقدار سره.
  • د متحرک ګروپ جوړولو او د حساب پروفایل (خدمت/شخص) رامینځته کولو لپاره د هڅو کچه د حلونو ترمینځ خورا توپیر کولی شي.

سرچینه: www.habr.com

Add a comment