پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > UEBA مارڪيٽ مئل آهي - ڊگهو زندهه UEBA

UEBA مارڪيٽ مئل آهي - ڊگهو زندهه UEBA

UEBA مارڪيٽ مئل آهي - ڊگهو زندهه UEBA

اڄ اسان هڪ مختصر جائزو فراهم ڪنداسين صارف ۽ اداري جي رويي جي تجزياتي تجزياتي (UEBA) مارڪيٽ جي تازي بنياد تي گارٽنر تحقيق. گارٽنر هائپ سائيڪل جي خطري کي منهن ڏيڻ واري ٽيڪنالاجيز جي مطابق، UEBA مارڪيٽ "نااميدي واري اسٽيج" جي تري ۾ آهي، ٽيڪنالاجي جي پختگي کي ظاهر ڪندي. پر صورتحال جو تضاد UEBA ٽيڪنالاجيز ۾ سيڙپڪاري جي هڪ ئي وقت ۾ عام واڌ ۽ آزاد UEBA حلن جي غائب بازار ۾ آهي. گارٽنر اڳڪٿي ڪري ٿو ته UEBA لاڳاپيل معلومات سيڪيورٽي حلن جي ڪارڪردگي جو حصو بڻجي ويندو. اصطلاح "UEBA" ممڪن طور استعمال کان ٻاهر ٿي ويندو ۽ هڪ ٻئي مخفف سان تبديل ڪيو ويندو هڪ تنگ ايپليڪيشن ايريا تي مرکوز (مثال طور، "صارف جي رويي جي تجزيي")، هڪ ساڳئي ايپليڪيشن ايريا (مثال طور، "ڊيٽا اينالائيٽڪس")، يا صرف ڪجهه بڻجي ويو نئون buzzword (مثال طور، اصطلاح "مصنوعي ذهانت" [AI] دلچسپ ڏسڻ ۾ اچي ٿو، جيتوڻيڪ اهو جديد UEBA ٺاهيندڙن لاء ڪو به احساس نٿو رکي).

گارٽنر جي مطالعي مان اهم نتيجن کي هن ريت اختصار ڪري سگهجي ٿو:

  • صارفين ۽ ادارن جي رويي جي تجزيي لاء مارڪيٽ جي پختگي حقيقت جي تصديق ڪئي وئي آهي ته اهي ٽيڪنالاجيون استعمال ڪيا ويا آهن وچولي ۽ وڏي ڪارپوريٽ ڀاڱي طرفان ڪيترن ئي ڪاروباري مسئلن کي حل ڪرڻ لاء؛
  • UEBA تجزياتي صلاحيتون لاڳاپيل معلومات جي سيڪيورٽي ٽيڪنالاجيز جي وسيع رينج ۾ ٺهيل آهن، جهڙوڪ ڪلائوڊ رسائي سيڪيورٽي بروکرز (CASBs)، سڃاڻپ گورننس ۽ انتظاميه (IGA) SIEM سسٽم؛
  • UEBA وينڊرز جي چوڌاري hype ۽ "مصنوعي ذهانت" جي اصطلاح جو غلط استعمال گراهڪن لاءِ اهو ڏکيو بڻائي ٿو ته ٺاهيندڙن جي ٽيڪنالاجين جي وچ ۾ حقيقي فرق کي سمجهڻ ۽ حل جي ڪارڪردگي کان سواءِ پائلٽ پروجيڪٽ هلائڻ جي؛
  • گراهڪ نوٽ ڪن ٿا ته UEBA حلن تي عملدرآمد جو وقت ۽ روزانو استعمال ڪارخانيدار جي واعدن کان وڌيڪ محنتي ۽ وقت سازي ٿي سگهي ٿو، جيتوڻيڪ جڏهن صرف بنيادي خطري جي ڳولا واري ماڊل تي غور ڪيو وڃي. ڪسٽم يا ايج استعمال جي ڪيسن کي شامل ڪرڻ انتهائي مشڪل ٿي سگهي ٿو ۽ ڊيٽا سائنس ۽ تجزياتي ۾ ماهر جي ضرورت آهي.

اسٽريٽجڪ مارڪيٽ جي ترقي جي اڳڪٿي:

  • 2021 تائين، صارف ۽ اداري جي رويي جي تجزياتي (UEBA) سسٽم لاءِ مارڪيٽ هڪ الڳ علائقي جي طور تي موجود ٿيڻ بند ٿي ويندي ۽ UEBA ڪارڪردگي سان ٻين حلن ڏانهن منتقل ٿي ويندي؛
  • 2020 تائين، 95٪ سڀني UEBA جي تعينات جو هڪ وسيع سيڪيورٽي پليٽ فارم جو حصو هوندو.

UEBA حل جي تعريف

UEBA حل استعمال ڪندڙن ۽ ٻين ادارن جي سرگرمي جو جائزو وٺڻ لاءِ بلٽ ان اينالائيٽڪس استعمال ڪندا آهن (جهڙوڪ ميزبان، ايپليڪيشنون، نيٽ ورڪ ٽرئفڪ ۽ ڊيٽا اسٽور).
اهي خطرن ۽ امڪاني واقعن کي ڳوليندا آهن، عام طور تي غير معمولي سرگرمي جي نمائندگي ڪن ٿا معياري پروفائل ۽ استعمال ڪندڙن ۽ ادارن جي رويي جي مقابلي ۾ ساڳئي گروپن ۾ هڪ عرصي دوران.

انٽرپرائز جي ڀاڱي ۾ سڀ کان وڌيڪ عام استعمال جا ڪيس خطري جي ڳولا ۽ جواب آهن، انهي سان گڏ اندروني خطرن جي ڳولا ۽ جواب (اڪثر ڪري سمجهوتو اندروني؛ ڪڏهن ڪڏهن اندروني حملي ڪندڙ).

UEBA وانگر آهي فيصلو، ۽ فنڪشنهڪ مخصوص اوزار ۾ ٺهيل:

  • حل "خالص" UEBA پليٽ فارمن جا ٺاهيندڙ آهن، جن ۾ وينڊرز شامل آهن جيڪي الڳ الڳ SIEM حل پڻ وڪڻندا آهن. ٻنهي صارفين ۽ ادارن جي رويي جي تجزيي ۾ ڪاروباري مسئلن جي وسيع رينج تي ڌيان ڏنو.
  • ايمبيڊڊ - ٺاهيندڙ / ڊويزنون جيڪي UEBA افعال ۽ ٽيڪنالاجيز کي انهن جي حلن ۾ ضم ڪن ٿا. عام طور تي ڪاروبار مسئلن جي وڌيڪ مخصوص سيٽ تي ڌيان ڏيڻ. انهي صورت ۾، UEBA استعمال ڪيو ويندو آهي استعمال ڪندڙن جي رويي جو تجزيو ڪرڻ ۽/يا ادارن.

گارٽنر UEBA کي ٽن محور سان گڏ ڏسي ٿو، بشمول مسئلا حل ڪندڙ، تجزياتي، ۽ ڊيٽا جا ذريعا (ڏسو شڪل).

UEBA مارڪيٽ مئل آهي - ڊگهو زندهه UEBA

"خالص" UEBA پليٽ فارمز بمقابله بلٽ ان UEBA

گارٽنر هڪ "خالص" UEBA پليٽ فارم کي حل ڪرڻ لاء سمجهي ٿو ته:

  • ڪيترن ئي مخصوص مسئلن کي حل ڪرڻ، جيئن ته مراعات يافته صارفين جي نگراني يا تنظيم کان ٻاهر ڊيٽا ڪڍڻ، ۽ نه صرف خلاصو "غير معمولي صارف جي سرگرمي جي نگراني"؛
  • پيچيده تجزيي جي استعمال کي شامل ڪرڻ، لازمي طور تي بنيادي تجزياتي طريقن جي بنياد تي؛
  • ڊيٽا گڏ ڪرڻ لاءِ ڪيترائي آپشن مهيا ڪريو، جن ۾ شامل آھن ٻئي ٺاھيل ڊيٽا ماخذ ميکانيزم ۽ لاگ مئنيجمينٽ ٽولز، ڊيٽا ڍنڍ ۽/يا SIEM سسٽم کان، بنيادي ضرورت کان سواءِ انفراسٽرڪچر ۾ الڳ ايجنٽن کي مقرر ڪرڻ جي.
  • خريد ڪري سگھجي ٿو ۽ ان ۾ شامل ڪرڻ بجاءِ اسٽينڊ اڪيلو حل طور استعمال ڪري سگھجي ٿو
    ٻين شين جي جوڙجڪ.

هيٺ ڏنل جدول ٻن طريقن جو مقابلو ڪري ٿو.

ٽيبل 1. ”خالص“ UEBA حل بمقابله بلٽ ان

درجه بندي "خالص" UEBA پليٽ فارم بلٽ-ان UEBA سان ٻيا حل
مسئلو حل ٿيڻو آهي صارف جي رويي ۽ ادارن جو تجزيو. ڊيٽا جي کوٽ شايد UEBA کي محدود ڪري سگھي ٿي صرف صارفين يا ادارن جي رويي جو تجزيو ڪرڻ لاءِ.
مسئلو حل ٿيڻو آهي ڪيترن ئي مسئلن کي حل ڪرڻ لاء ڪم ڪري ٿو ڪمن جي محدود سيٽ ۾ ماهر
تجزياتي مختلف تجزياتي طريقن کي استعمال ڪندي بي ضابطگي جو پتو لڳائڻ - خاص طور تي شمارياتي ماڊلز ۽ مشين لرننگ ذريعي، ضابطن ۽ دستخطن سان گڏ. استعمال ڪندڙ ۽ اداري جي سرگرمي کي انهن جي ۽ ساٿين جي پروفائيل تي ٺاهي ۽ موازنہ ڪرڻ لاءِ بلٽ ان اينالائيٽڪس سان گڏ اچي ٿو. خالص UEBA وانگر، پر تجزيو صرف استعمال ڪندڙن ۽/يا ادارن تائين محدود ٿي سگھي ٿو.
تجزياتي ترقي يافته تجزياتي صلاحيتون، نه رڳو ضابطن سان محدود. مثال طور، هڪ ڪلسترنگ الگورتھم سان گڏ متحرڪ گروپن جي ادارن. "خالص" UEBA سان ملندڙ جلندڙ، پر ڪجهه ايمبيڊڊ خطري جي ماڊل ۾ ادارو گروپ صرف دستي طور تي تبديل ٿي سگهي ٿو.
تجزياتي استعمال ڪندڙ ۽ ٻين ادارن جي سرگرمي ۽ رويي جو تعلق (مثال طور، Bayesian نيٽ ورڪ استعمال ڪندي) ۽ انفرادي خطري جي رويي جي مجموعي کي غير معمولي سرگرمي جي سڃاڻپ ڪرڻ لاء. خالص UEBA وانگر، پر تجزيو صرف استعمال ڪندڙن ۽/يا ادارن تائين محدود ٿي سگھي ٿو.
ڊيٽا ذريعن ڊيٽا ذريعن کان صارفين ۽ ادارن تي واقعا حاصل ڪرڻ سڌو سنئون بلٽ ان ميڪانيزم يا موجوده ڊيٽا اسٽورن ذريعي، جهڙوڪ SIEM يا ڊيٽا ڍنڍ. ڊيٽا حاصل ڪرڻ لاء ميڪانيزم عام طور تي صرف سڌو سنئون آهن ۽ صرف صارفين ۽ / يا ٻين ادارن کي متاثر ڪن ٿا. لاگ مينيجمينٽ اوزار / SIEM / ڊيٽا ڍنڍ استعمال نه ڪريو.
ڊيٽا ذريعن حل نه رڳو نيٽ ورڪ ٽرئفڪ تي ڊيٽا جو بنيادي ذريعو طور تي ڀروسو ڪرڻ گهرجي، ۽ نه ئي ان کي ٽيلي ميٽري گڏ ڪرڻ لاءِ صرف پنهنجي ايجنٽن تي ڀروسو ڪرڻ گهرجي. حل صرف نيٽ ورڪ ٽرئفڪ تي ڌيان ڏئي سگھي ٿو (مثال طور، NTA - نيٽ ورڪ ٽرئفڪ جو تجزيو) ۽ / يا ان جي ايجنٽ کي آخري ڊوائيسز تي استعمال ڪريو (مثال طور، ملازم مانيٽرنگ افاديت).
ڊيٽا ذريعن استعمال ڪندڙ / اداري جي ڊيٽا کي حوالي سان ترتيب ڏيڻ. حقيقي وقت ۾ منظم ٿيل واقعن جي گڏ ڪرڻ کي سپورٽ ڪري ٿو، انهي سان گڏ آئي ٽي ڊائريڪٽرن مان منظم/غير منظم گڏيل ڊيٽا - مثال طور، ايڪٽو ڊاريڪٽري (AD)، يا ٻيون مشين پڙهڻ جي قابل معلومات وسيلن (مثال طور، HR ڊيٽابيس). خالص UEBA سان ملندڙ جلندڙ، پر لاڳاپيل ڊيٽا جو دائرو ڪيس کان ڪيس کان مختلف ٿي سگهي ٿو. AD ۽ LDAP سڀ کان وڌيڪ عام لاڳاپيل ڊيٽا اسٽور آهن جيڪي ايمبيڊڊ UEBA حلن ذريعي استعمال ڪيا ويا آهن.
دستياب هڪ اسٽينڊل پراڊڪٽ جي طور تي درج ڪيل خاصيتون مهيا ڪري ٿي. اهو ناممڪن آهي خريد ڪرڻ لاءِ بلٽ-ان UEBA ڪارڪردگي بغير ڪنهن ٻاهرين حل کي خريد ڪرڻ جي جنهن ۾ اهو ٺهيل آهي.
ذريعو: گارٽنر (مئي 2019)

اهڙيء طرح، ڪجهه مسئلن کي حل ڪرڻ لاء، ايمبيڊڊ UEBA استعمال ڪري سگهي ٿو بنيادي UEBA تجزياتي (مثال طور، سادي غير نگراني ٿيل مشين لرننگ)، پر ساڳئي وقت، بلڪل ضروري ڊيٽا تائين رسائي جي ڪري، اهو مجموعي طور تي "خالص" کان وڌيڪ اثرائتو ٿي سگهي ٿو. UEBA حل. ساڳئي وقت، "خالص" UEBA پليٽ فارمز، جيئن توقع ڪئي وئي آهي، وڌيڪ پيچيده تجزياتي پيش ڪن ٿا بنيادي ڄاڻ جي طور تي بلٽ ان UEBA ٽول جي مقابلي ۾. انهن نتيجن کي جدول 2 ۾ اختصار ڪيو ويو آهي.

جدول 2. ”خالص“ ۽ بلٽ ان UEBA جي وچ ۾ فرق جو نتيجو

درجه بندي "خالص" UEBA پليٽ فارم بلٽ-ان UEBA سان ٻيا حل
تجزياتي مختلف قسم جي ڪاروباري مسئلن کي حل ڪرڻ جي قابل اطلاق UEBA افعال جو وڌيڪ عالمگير سيٽ وڌيڪ پيچيده تجزياتي ۽ مشين لرننگ ماڊلز تي زور ڏيڻ سان. ڪاروباري مسئلن جي ننڍڙن سيٽن تي ڌيان ڏيڻ جو مطلب آهي انتهائي خاص خصوصيتون جيڪي آسان منطق سان ايپليڪيشن-مخصوص ماڊلز تي ڌيان ڏين ٿيون.
تجزياتي تجزياتي ماڊل جي حسب ضرورت هر ايپليڪيشن جي منظرنامي لاءِ ضروري آهي. تجزياتي ماڊل ان ٽول لاءِ اڳ ۾ ترتيب ڏنل آهن جنهن ۾ UEBA ٺاهيل آهي. بلٽ ان UEBA سان هڪ اوزار عام طور تي ڪجهه ڪاروباري مسئلن کي حل ڪرڻ ۾ تيز نتيجا حاصل ڪري ٿو.
ڊيٽا ذريعن ڪارپوريٽ انفراسٽرڪچر جي سڀني ڪنڊن کان ڊيٽا ذريعن تائين رسائي. ٿورڙا ڊيٽا جا ذريعا، عام طور تي محدود هوندا آهن انهن لاءِ ايجنٽن جي دستيابي يا اوزار پاڻ UEBA افعال سان.
ڊيٽا ذريعن هر لاگ ۾ موجود معلومات ڊيٽا ماخذ طرفان محدود ٿي سگهي ٿي ۽ مرڪزي UEBA اوزار لاءِ سڀ ضروري ڊيٽا شامل نه ٿي سگھي. ايجنٽ پاران گڏ ڪيل خام ڊيٽا جي مقدار ۽ تفصيل ۽ UEBA ڏانهن منتقل ٿيل خاص طور تي ترتيب ڏئي سگهجي ٿو.
تعمير اهو هڪ تنظيم لاء هڪ مڪمل UEBA پيداوار آهي. SIEM سسٽم يا ڊيٽا ڍنڍ جي صلاحيتن کي استعمال ڪندي انضمام آسان آهي. هر هڪ حل لاءِ UEBA خاصيتن جي هڪ الڳ سيٽ جي ضرورت آهي جيڪا UEBA ٺاهيل آهي. شامل ٿيل UEBA حل اڪثر ڪري ايجنٽ کي انسٽال ڪرڻ ۽ ڊيٽا کي منظم ڪرڻ جي ضرورت آهي.
انضمام هر صورت ۾ ٻين اوزارن سان UEBA حل جو دستي انضمام. هڪ تنظيم کي اجازت ڏئي ٿو ته ان جي ٽيڪنالاجي اسٽيڪ ٺاهڻ جي بنياد تي "بهترين اينالاگس" جي نقطي تي. UEBA افعال جا مکيه بنڊ اڳ ۾ ئي اوزار ۾ شامل ڪيا ويا آھن پاڻ ٺاھيندڙ طرفان. UEBA ماڊل ٺهيل آهي ۽ ختم نه ٿو ڪري سگهجي، تنهن ڪري گراهڪ ان کي پنهنجي ڪنهن شيءِ سان تبديل نٿا ڪري سگهن.
ذريعو: گارٽنر (مئي 2019)

UEBA هڪ فنڪشن جي طور تي

UEBA آخر کان آخر تائين سائبر سيڪيورٽي حلن جي خصوصيت بڻجي رهيو آهي جيڪي اضافي تجزياتي مان فائدو حاصل ڪري سگهن ٿا. UEBA انهن حلن کي هيٺ رکي ٿو، صارف ۽ / يا اداري جي رويي جي نمونن جي بنياد تي ترقي يافته تجزياتي جو هڪ طاقتور پرت مهيا ڪري ٿو.

في الحال مارڪيٽ تي، تعمير ٿيل UEBA ڪارڪردگي هيٺ ڏنل حلن ۾ لاڳو ڪئي وئي آهي، ٽيڪنالاجي دائري جي لحاظ سان گروپ ڪيو ويو آهي:

  • ڊيٽا مرڪوز آڊٽ ۽ تحفظ، وينڊرز آهن جيڪي منظم ۽ غير منظم ٿيل ڊيٽا اسٽوريج جي حفاظت کي بهتر بڻائڻ تي مرکوز آهن (اڪا DCAP).

    وينڊرز جي هن درجي ۾، گارٽنر نوٽس، ٻين شين جي وچ ۾، Varonis سائبر سيڪيورٽي پليٽ فارم، جيڪو مختلف معلومات اسٽورن تي غير منظم ڊيٽا جي اجازتن، رسائي، ۽ استعمال ۾ تبديلين جي نگراني ڪرڻ لاءِ صارف جي رويي جا تجزيا پيش ڪري ٿو.

  • CASB سسٽمڪلائوڊ بيسڊ SaaS ايپليڪيشنن ۾ مختلف خطرن جي خلاف تحفظ فراهم ڪندي ناپسنديده ڊيوائسز، استعمال ڪندڙن ۽ ايپليڪيشن ورزن لاءِ ڪلائوڊ سروسز تائين پهچ کي بلاڪ ڪندي هڪ انضمام رسائي ڪنٽرول سسٽم استعمال ڪندي.

    سڀ مارڪيٽ جي معروف CASB حل شامل آهن UEBA صلاحيتون.

  • DLP حل - تنظيم کان ٻاهر نازڪ ڊيٽا جي منتقلي يا ان جي غلط استعمال کي ڳولڻ تي ڌيان ڏيڻ.

    DLP پيش رفت گهڻو ڪري مواد کي سمجهڻ تي مبني آهي، گهٽ ڌيان سان سمجھڻ جي حوالي سان جيئن ته صارف، ايپليڪيشن، مقام، وقت، واقعن جي رفتار، ۽ ٻيا خارجي عنصر. اثرائتو ٿيڻ لاءِ، ڊي ايل پي پروڊڪٽس کي لازمي طور تي مواد ۽ حوالن ٻنهي کي سڃاڻڻ گهرجي. اهو ئي سبب آهي ته ڪيترائي ٺاهيندڙ UEBA ڪارڪردگي کي انهن جي حلن ۾ ضم ڪرڻ شروع ڪري رهيا آهن.

  • ملازم جي نگراني ملازم جي عملن کي رڪارڊ ڪرڻ ۽ ٻيهر هلائڻ جي صلاحيت آهي، عام طور تي ڊيٽا فارميٽ ۾ قانوني ڪارروائي لاءِ موزون (جيڪڏهن ضروري هجي).

    مسلسل نگراني ڪندڙ صارفين اڪثر ڪري ڊيٽا جو هڪ وڏو مقدار ٺاهي ٿو جيڪو دستي فلٽرنگ ۽ انساني تجزيو جي ضرورت آهي. تنهن ڪري، UEBA انهن حلن جي ڪارڪردگي کي بهتر ڪرڻ ۽ صرف اعلي خطري جي واقعن کي ڳولڻ لاء نگراني سسٽم اندر استعمال ڪيو ويندو آهي.

  • آخري پوائنٽ سيڪيورٽي - Endpoint detection and Response (EDR) حل ۽ Endpoint Protection پليٽ فارمز (EPP) طاقتور اوزار ۽ آپريٽنگ سسٽم ٽيليميٽري مهيا ڪن ٿا.
    آخر ڊوائيسز.

    اهڙي استعمال ڪندڙ سان لاڳاپيل ٽيلي ميٽري جو تجزيو ڪري سگهجي ٿو بلٽ ان UEBA ڪارڪردگي مهيا ڪرڻ لاءِ.

  • آن لائن فراڊ - آن لائن فراڊ جي ڳولا جا حل انحرافي سرگرمي کي ڳولي ٿو جيڪو اشارو ڪري ٿو صارف جي اڪائونٽ کي ٺڳي، مالويئر، يا غير محفوظ ڪنيڪشن / برائوزر ٽرئفڪ جي مداخلت جي استحصال ذريعي.

    گھڻا فراڊ حل استعمال ڪن ٿا UEBA جو جوهر، ٽرانزيڪشن جو تجزيو ۽ ڊيوائس جي ماپ، وڌيڪ جديد سسٽم سان گڏ انھن کي مڪمل ڪري ٿو سڃاڻپ جي ڊيٽابيس ۾ لاڳاپن سان.

  • IAM ۽ رسائي ڪنٽرول - گارٽنر نوٽ ڪري ٿو هڪ ارتقائي رجحان رسائي ڪنٽرول سسٽم وينڊرز جي وچ ۾ خالص وينڊرز سان ضم ڪرڻ ۽ انهن جي شين ۾ ڪجهه UEBA ڪارڪردگي پيدا ڪرڻ.
  • IAM ۽ سڃاڻپ گورننس ۽ ايڊمنسٽريشن (IGA) سسٽم UEBA استعمال ڪريو رويي ۽ سڃاڻپ جي تجزياتي منظرنامي کي ڍڪڻ لاءِ جيئن ته بي ترتيبي جي سڃاڻپ، متحرڪ گروپن جو تجزيو هڪجهڙن ادارن جو، لاگ ان تجزيو، ۽ رسائي پاليسي جو تجزيو.
  • IAM ۽ امتيازي رسائي جو انتظام (PAM) - انتظامي اڪائونٽن جي استعمال جي نگراني جي ڪردار جي ڪري، PAM حلن وٽ ٽيليميٽري آهي ڏيکاريو ته ڪيئن، ڇو، جڏهن ۽ ڪٿي انتظامي اڪائونٽس استعمال ڪيا ويا. ھن ڊيٽا جو تجزيو ڪري سگھجي ٿو UEBA جي تعمير ٿيل ڪارڪردگي کي استعمال ڪندي منتظمين جي غير معمولي رويي يا بدسلوڪي ارادي جي موجودگي لاء.
  • ٺاهيندڙ NTA (نيٽ ورڪ ٽرئفڪ تجزيو) - ڪارپوريٽ نيٽ ورڪن تي مشڪوڪ سرگرمي کي سڃاڻڻ لاءِ مشين لرننگ، جديد تجزياتي ۽ قاعدي جي بنياد تي سڃاڻپ جو ميلاپ استعمال ڪريو.

    NTA اوزار مسلسل ذريعن جي ٽرئفڪ ۽/يا وهڪري جي رڪارڊ جو تجزيو ڪن ٿا (مثال طور NetFlow) ماڊل ٺاهڻ لاءِ جيڪي عام نيٽ ورڪ جي رويي کي ظاهر ڪن ٿا، بنيادي طور تي مرڪز جي رويي جي تجزيي تي ڌيان ڏيڻ.

  • سي آئي ايم - ڪيترن ئي SIEM وينڊرز وٽ ھاڻي آھي ترقي يافته ڊيٽا اينالائيٽڪس ڪارڪردگي SIEM ۾ ٺاھيل آھي، يا الڳ UEBA ماڊل جي طور تي. 2018 جي ​​دوران ۽ اڃا تائين 2019 ۾، SIEM ۽ UEBA ڪارڪردگي جي وچ ۾ حدن جي مسلسل ڦهليل آهي، جيئن مضمون ۾ بحث ڪيو ويو آهي "جديد SIEM لاء ٽيڪنالاجي بصيرت". SIEM سسٽم بهتر ٿي چڪا آهن تجزياتي سان ڪم ڪرڻ ۽ وڌيڪ پيچيده ايپليڪيشن منظرنامو پيش ڪرڻ.

UEBA ايپليڪيشن منظرنامو

UEBA حل مسئلن جو هڪ وسيع سلسلو حل ڪري سگهن ٿا. بهرحال، گارٽنر ڪلائنٽ متفق آهن ته بنيادي استعمال جي ڪيس ۾ خطرن جي مختلف قسمن کي ڳولڻ شامل آهي، جيڪو صارف جي رويي ۽ ٻين ادارن جي وچ ۾ بار بار لاڳاپن کي ظاهر ڪرڻ ۽ تجزيو ڪرڻ سان حاصل ڪيو ويو آهي:

  • ڊيٽا جي غير مجاز رسائي ۽ حرڪت؛
  • امتيازي استعمال ڪندڙن جو مشڪوڪ رويو، ملازمن جي بدسلوڪي يا غير مجاز سرگرمي؛
  • غير معياري رسائي ۽ بادل وسيلن جو استعمال؛
  • ۽ ٻيا.

اتي پڻ ڪيترائي غير معمولي غير سائبر سيڪيورٽي استعمال جا ڪيس آھن، جھڙوڪ فراڊ يا ملازمن جي نگراني، جنھن لاءِ UEBA جواز ثابت ٿي سگھي ٿو. تنهن هوندي، اهي اڪثر ڪري ڊيٽا ذريعن جي ضرورت هونديون آهن IT ۽ معلومات جي حفاظت کان ٻاهر، يا مخصوص تجزياتي ماڊل هن علائقي جي گهڻي ڄاڻ سان. پنج مکيه منظرنامو ۽ ايپليڪيشنون جيڪي ٻئي UEBA ٺاهيندڙن ۽ انهن جا گراهڪ متفق آهن هيٺ بيان ڪيا ويا آهن.

"بدڪار اندروني"

UEBA حل فراهم ڪندڙ جيڪي هن منظر کي ڍڪيندا آهن صرف ملازمن ۽ قابل اعتماد ٺيڪيدارن کي غير معمولي، "خراب" يا بدسلوڪي رويي جي نگراني ڪن ٿا. ماهرن جي هن علائقي ۾ وينڊرز سروس اڪائونٽس يا ٻين غير انساني ادارن جي رويي جي نگراني يا تجزيو نٿا ڪن. گهڻو ڪري هن جي ڪري، اهي ترقي يافته خطرن کي ڳولڻ تي ڌيان نه ڏيندا آهن جتي هيڪرز موجوده اڪائونٽن تي قبضو ڪن ٿا. ان جي بدران، انهن جو مقصد نقصانڪار سرگرمين ۾ ملوث ملازمن جي نشاندهي ڪرڻ آهي.

لازمي طور تي، "بدانتظامي اندروني" جو تصور قابل اعتماد استعمال ڪندڙن کان بدسلوڪي ارادي سان پيدا ٿئي ٿو جيڪي پنهنجي آجر کي نقصان پهچائڻ جا طريقا ڳوليندا آهن. ڇاڪاڻ ته خراب ارادي کي ماپڻ ڏکيو آهي، هن درجي ۾ بهترين وينڊرز لاڳاپيل رويي جي ڊيٽا جو تجزيو ڪن ٿا جيڪو آساني سان آڊٽ لاگز ۾ دستياب ناهي.

هن جڳهه ۾ حل فراهم ڪندڙ پڻ غير منظم ڊيٽا شامل ۽ تجزيو ڪن ٿا، جهڙوڪ اي ميل مواد، پيداوار جي رپورٽون، يا سوشل ميڊيا جي معلومات، رويي جي حوالي سان مهيا ڪرڻ لاء.

سمجهوتو اندروني ۽ مداخلت وارا خطرا

چئلينج اهو آهي ته جلدي ڳولڻ ۽ تجزيو ڪرڻ "خراب" رويي جو هڪ ڀيرو حملي ڪندڙ تنظيم تائين رسائي حاصل ڪري چڪو آهي ۽ آئي ٽي انفراسٽرڪچر جي اندر هلڻ شروع ڪري ٿو.
Assertive خطرن (APTs)، جهڙوڪ اڻڄاتل يا اڃا تائين مڪمل طور تي سمجھ ۾ نه آيل خطرن، ڳولڻ تمام ڏکيو آهي ۽ اڪثر ڪري جائز صارف جي سرگرمي يا سروس اڪائونٽس جي پويان لڪايو وڃي ٿو. اهڙن خطرن کي عام طور تي هڪ پيچيده آپريٽنگ ماڊل هوندو آهي (ڏسو، مثال طور، آرٽيڪل " سائبر ڪِل چائنيز کي خطاب") يا انهن جي رويي کي اڃا تائين نقصانڪار طور اندازو نه ڪيو ويو آهي. اهو انهن کي آسان تجزياتي استعمال ڪندي ڳولڻ ڏکيو بڻائي ٿو (جهڙوڪ نمونن، حدن، يا باهمي قاعدن سان ملائڻ).

جڏهن ته، انهن مان گھڻا مداخلت ڪندڙ خطرا غير معياري رويي جي نتيجي ۾، اڪثر ڪري اڻڄاتل صارفين يا ادارن کي شامل ڪن ٿا (اڪا سمجھوتي اندروني). UEBA ٽيڪنڪون پيش ڪن ٿيون ڪيترن ئي دلچسپ موقعن کي اهڙن خطرن کي ڳولڻ، سگنل کان شور جي تناسب کي بهتر ڪرڻ، نوٽيفڪيشن جي مقدار کي مضبوط ڪرڻ ۽ گهٽائڻ، باقي الرٽ کي ترجيح ڏيڻ، ۽ واقعي جي اثرائتي جواب ۽ تحقيق کي آسان ڪرڻ.

UEBA وينڊرز هن مسئلي واري علائقي کي نشانو بڻائيندا آهن اڪثر ڪري تنظيم جي SIEM سسٽم سان ٻه طرفي انضمام.

ڊيٽا Exfiltration

هن معاملي ۾ ڪم حقيقت کي معلوم ڪرڻ آهي ته ڊيٽا تنظيم کان ٻاهر منتقل ٿي رهيو آهي.
وينڊرز هن چيلنج تي ڌيان ڏئي رهيا آهن عام طور تي ڊي ايل پي يا ڊي اي جي صلاحيتن کي بي ضابطگي جي ڳولا ۽ جديد تجزياتي سان، انهي سان سگنل کان شور جي تناسب کي بهتر ڪرڻ، نوٽيفڪيشن جي مقدار کي مضبوط ڪرڻ، ۽ باقي ٽارگيٽرن کي ترجيح ڏيڻ. اضافي حوالي سان، وينڊرز عام طور تي نيٽ ورڪ ٽرئفڪ (جهڙوڪ ويب پراکسيز) ۽ آخري پوائنٽ ڊيٽا تي وڌيڪ ڀاڙيندا آهن، جيئن ته انهن ڊيٽا ذريعن جو تجزيو ڊيٽا جي خارج ڪرڻ جي تحقيقات ۾ مدد ڪري سگهي ٿي.

ڊيٽا خارج ڪرڻ جو پتو لڳائڻ اندروني ۽ بيروني هيڪرز کي پڪڙڻ لاءِ استعمال ڪيو ويندو آهي تنظيم کي خطرو.

امتيازي رسائي جي سڃاڻپ ۽ انتظام

ماهرن جي هن علائقي ۾ آزاد UEBA حلن جا ٺاهيندڙ صارف جي رويي جو مشاهدو ڪن ٿا ۽ تجزيو ڪن ٿا اڳ ۾ ئي قائم ڪيل حقن جي نظام جي پس منظر جي خلاف وڌيڪ استحقاق يا غير معمولي رسائي جي نشاندهي ڪرڻ لاءِ. اهو سڀني قسمن جي استعمال ڪندڙن ۽ اڪائونٽن تي لاڳو ٿئي ٿو، بشمول مراعات يافته ۽ سروس اڪائونٽس. تنظيمون پڻ استعمال ڪن ٿيون UEBA غير فعال اڪائونٽن کان نجات حاصل ڪرڻ ۽ صارف جي استحقاق جيڪي ضرورت کان وڌيڪ آهن.

حادثن جي ترجيح

هن ڪم جو مقصد اهو آهي ته انهن جي ٽيڪنالاجي اسٽيڪ ۾ حل ذريعي ٺاهيل اطلاعن کي اوليت ڏيڻ اهو سمجهڻ لاءِ ته ڪهڙن واقعن يا امڪاني واقعن کي پهرين خطاب ڪيو وڃي. UEBA طريقا ۽ اوزار واقعن جي نشاندهي ڪرڻ ۾ ڪارآمد آھن جيڪي خاص طور تي غير معمولي يا خاص طور تي ڏنل تنظيم لاءِ خطرناڪ آھن. انهي صورت ۾، UEBA ميڪانيزم نه رڳو بنيادي سطح جي سرگرمي ۽ خطري جي ماڊل کي استعمال ڪري ٿو، پر ڪمپني جي تنظيمي ڍانچي جي باري ۾ معلومات سان گڏ ڊيٽا کي گڏ ڪري ٿو (مثال طور، نازڪ وسيلن يا ڪردار ۽ ملازمن جي رسائي جي سطح).

UEBA حل لاڳو ڪرڻ جا مسئلا

UEBA حل جو مارڪيٽ درد انهن جي اعلي قيمت، پيچيده عمل درآمد، سار سنڀال ۽ استعمال آهي. جڏهن ته ڪمپنيون مختلف اندروني پورٽن جي تعداد سان جدوجهد ڪري رهيا آهن، اهي هڪ ٻيو ڪنسول حاصل ڪري رهيا آهن. نئين اوزار ۾ وقت ۽ وسيلن جي سيڙپڪاري جو دارومدار هٿن ۾ ڪمن ۽ تجزياتي قسمن تي منحصر هوندو آهي جيڪي انهن کي حل ڪرڻ جي ضرورت هونديون آهن، ۽ اڪثر ڪري وڏي سيڙپڪاري جي ضرورت هوندي آهي.

ان جي برعڪس جيڪي ڪيترن ئي ٺاهيندڙن جي دعويٰ آهي، UEBA نه آهي ”سيٽ ان کي ۽ وساريو“ وارو اوزار جيڪو پوءِ هلي سگهي ٿو مسلسل ڏينهن تائين آخر تائين.
گارٽنر ڪلائنٽ، مثال طور، نوٽ ڪريو ته 3 کان 6 مهينا لڳن ٿا شروع ڪرڻ لاءِ UEBA جي شروعات شروع ڪرڻ لاءِ انهن مسئلن کي حل ڪرڻ جا پهريان نتيجا حاصل ڪرڻ لاءِ جن لاءِ هي حل لاڳو ڪيو ويو هو. وڌيڪ پيچيده ڪمن لاءِ، جيئن هڪ تنظيم ۾ اندروني خطرن جي نشاندهي ڪرڻ، مدت 18 مهينن تائين وڌي ٿي.

UEBA کي لاڳو ڪرڻ جي مشڪلات ۽ اوزار جي مستقبل جي تاثير تي اثر انداز ڪندڙ عنصر:

  • تنظيم جي جوڙجڪ جي پيچيدگي، نيٽ ورڪ ٽوپولوجي ۽ ڊيٽا مينيجمينٽ پاليسين
  • تفصيل جي صحيح سطح تي صحيح ڊيٽا جي دستيابي
  • وينڊرز جي تجزياتي الگورتھم جي پيچيدگي - مثال طور، شمارياتي ماڊل ۽ مشين لرننگ جو استعمال بمقابله سادي نمونن ۽ ضابطن.
  • اڳ ۾ ترتيب ڏنل اينالائيٽڪس جو مقدار شامل آهي- يعني، ٺاهيندڙ جي سمجھڻ جي ڪهڙي ڊيٽا کي گڏ ڪرڻ جي ضرورت آهي هر ڪم لاءِ ۽ ڪهڙا متغير ۽ خاصيتون تجزيي کي انجام ڏيڻ لاءِ تمام ضروري آهن.
  • اهو ڪيترو آسان آهي ٺاهيندڙ لاءِ پاڻمرادو گهربل ڊيٽا سان ضم ڪرڻ.

    مثال طور

    • جيڪڏهن هڪ UEBA حل SIEM سسٽم کي پنهنجي ڊيٽا جو بنيادي ذريعو استعمال ڪري ٿو، ڇا SIEM گهربل ڊيٽا ذريعن کان معلومات گڏ ڪري ٿو؟
    • ڇا ضروري واقعن جا لاگ ۽ تنظيمي حوالي سان ڊيٽا کي UEBA حل ڏانهن روانو ڪري سگھجي ٿو؟
    • جيڪڏهن SIEM سسٽم اڃا تائين گڏ نه ٿو ڪري ۽ ڊيٽا جي ذريعن کي ڪنٽرول ڪري ٿو UEBA حل طرفان گهربل، پوء اهي ڪيئن منتقل ڪري سگهجن ٿيون؟

  • تنظيم لاءِ ايپليڪيشن جو منظرنامو ڪيترو اهم آهي، ان کي ڪيتري ڊيٽا جي ذريعن جي ضرورت آهي، ۽ اهو ڪم ڪارخاني جي ماهر جي علائقي سان ڪيترو اوورلوپ ٿئي ٿو.
  • تنظيمي پختگي ۽ شموليت جي ڪهڙي درجي جي ضرورت آهي - مثال طور، قاعدن ۽ ماڊل جي تخليق، ترقي ۽ سڌارو؛ تشخيص لاءِ متغيرن کي وزن مقرر ڪرڻ؛ يا خطري جي تشخيص جي حد کي ترتيب ڏيڻ.
  • تنظيم جي موجوده سائيز ۽ ان جي مستقبل جي ضرورتن جي مقابلي ۾ وينڊر جو حل ۽ ان جو فن تعمير ڪيترو اسڪيلبل آهي.
  • بنيادي ماڊل، پروفائلز ۽ اهم گروپن کي تعمير ڪرڻ جو وقت. ٺاهيندڙن کي "عام" تصورن جي وضاحت ڪرڻ کان پهريان تجزيو ڪرڻ لاءِ اڪثر گهٽ ۾ گهٽ 30 ڏينهن (۽ ڪڏهن ڪڏهن 90 ڏينهن تائين) جي ضرورت هوندي آهي. تاريخي ڊيٽا کي لوڊ ڪندي هڪ ڀيرو ماڊل ٽريننگ کي تيز ڪري سگهي ٿو. ڪجھ دلچسپ ڪيسن جي سڃاڻپ ڪري سگھجن ٿيون ضابطن کي استعمال ڪندي تيزيءَ سان مشين لرننگ استعمال ڪرڻ جي ڀيٽ ۾ ھڪڙي ننڍڙي مقدار جي شروعاتي ڊيٽا سان.
  • متحرڪ گروپنگ ۽ اڪائونٽ پروفائلنگ (خدمت/شخص) ٺاهڻ لاءِ گهربل ڪوششن جي سطح حلن جي وچ ۾ تمام گھڻو مختلف ٿي سگھي ٿي.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو