අද අපි නවතම මත පදනම්ව පරිශීලක සහ ආයතන චර්යා විශ්ලේෂණ (UEBA) වෙළඳපල පිළිබඳ කෙටි දළ විශ්ලේෂණයක් ලබා දෙන්නෙමු. . තාක්ෂණයේ පරිණතභාවය පෙන්නුම් කරමින් තර්ජනයට මුහුණ දෙන තාක්ෂණ සඳහා ගාට්නර් හයිප් චක්රයට අනුව UEBA වෙළඳපල “කලකිරීමේ අවධියේ” පතුලේ පවතී. නමුත් තත්වයේ විරුද්ධාභාසය පවතින්නේ UEBA තාක්ෂණවල ආයෝජනවල සමකාලීන වර්ධනය සහ ස්වාධීන UEBA විසඳුම්වල අතුරුදහන් වන වෙළඳපල තුළ ය. ගාට්නර් පුරෝකථනය කරන්නේ UEBA අදාළ තොරතුරු ආරක්ෂණ විසඳුම්වල ක්රියාකාරීත්වයේ කොටසක් බවට පත්වනු ඇති බවයි. "UEBA" යන පදය භාවිතයෙන් ඉවත් වීමට ඉඩ ඇති අතර පටු යෙදුම් ප්රදේශයක් (උදා: "පරිශීලක හැසිරීම් විශ්ලේෂණ"), සමාන යෙදුම් ප්රදේශයක් (උදා: "දත්ත විශ්ලේෂණ") වෙත අවධානය යොමු කරන ලද වෙනත් කෙටි යෙදුමකින් ප්රතිස්ථාපනය වේ. නව buzzword (උදාහරණයක් ලෙස, "කෘතිම බුද්ධිය" [AI] යන යෙදුම නවීන UEBA නිෂ්පාදකයින්ට කිසිදු තේරුමක් නැති වුවද සිත්ගන්නාසුළුයි).
ගාට්නර් අධ්යයනයේ ප්රධාන සොයාගැනීම් පහත පරිදි සාරාංශ කළ හැක:
- පරිශීලකයින්ගේ සහ ආයතනවල චර්යාත්මක විශ්ලේෂණ සඳහා වෙළඳපොලේ පරිණතභාවය තහවුරු වන්නේ මෙම තාක්ෂණයන් මධ්යම හා විශාල ආයතනික අංශය විසින් ව්යාපාරික ගැටළු ගණනාවක් විසඳීම සඳහා භාවිතා කරන බැවිනි;
- UEBA විශ්ලේෂණ හැකියාවන් වලාකුළු ප්රවේශ ආරක්ෂණ තැරැව්කරුවන් (CASBs), අනන්යතා පාලනය සහ පරිපාලනය (IGA) SIEM පද්ධති වැනි පුළුල් පරාසයක අදාළ තොරතුරු ආරක්ෂණ තාක්ෂණයන් තුළ ගොඩනගා ඇත;
- UEBA වෙළෙන්දන් වටා ඇති උද්දීපනය සහ "කෘතිම බුද්ධිය" යන යෙදුම වැරදි ලෙස භාවිතා කිරීම පාරිභෝගිකයින්ට නිෂ්පාදකයින්ගේ තාක්ෂණයන් සහ නියමු ව්යාපෘතියක් සිදු නොකර විසඳුම්වල ක්රියාකාරීත්වය අතර සැබෑ වෙනස තේරුම් ගැනීමට අපහසු කරයි;
- මූලික තර්ජන හඳුනාගැනීමේ ආකෘති පමණක් සලකා බැලීමේදී පවා, UEBA විසඳුම් ක්රියාත්මක කිරීමේ කාලය සහ එදිනෙදා භාවිතය නිෂ්පාදකයා පොරොන්දු වන ප්රමාණයට වඩා ශ්රම-දැඩි සහ කාලය ගත විය හැකි බව පාරිභෝගිකයින් සටහන් කරයි. අභිරුචි හෝ අන්ත භාවිත අවස්ථා එකතු කිරීම අතිශය දුෂ්කර විය හැකි අතර දත්ත විද්යාව සහ විශ්ලේෂණ පිළිබඳ විශේෂඥතාව අවශ්ය වේ.
උපායමාර්ගික වෙළඳපල සංවර්ධන පුරෝකථනය:
- 2021 වන විට, පරිශීලක සහ ආයතන චර්යා විශ්ලේෂණ (UEBA) පද්ධති සඳහා වෙළඳපොළ වෙනම ප්රදේශයක් ලෙස පැවතීම නවත්වන අතර UEBA ක්රියාකාරීත්වය සමඟ වෙනත් විසඳුම් වෙත මාරු වනු ඇත;
- 2020 වන විට, සියලුම UEBA යෙදවීම් වලින් 95%ක් පුළුල් ආරක්ෂක වේදිකාවක කොටසක් වනු ඇත.
UEBA විසඳුම් අර්ථ දැක්වීම
UEBA විසඳුම් භාවිතා කරන්නන්ගේ සහ අනෙකුත් ආයතනවල (ධාරක, යෙදුම්, ජාල ගමනාගමනය සහ දත්ත ගබඩා වැනි) ක්රියාකාරකම් ඇගයීම සඳහා බිල්ට් විශ්ලේෂණ භාවිතා කරයි.
ඔවුන් තර්ජන සහ විභව සිදුවීම් හඳුනා ගනී, සාමාන්යයෙන් යම් කාල පරිච්ඡේදයක් තුළ සමාන කණ්ඩායම්වල පරිශීලකයින්ගේ සහ ආයතනවල සම්මත පැතිකඩ සහ හැසිරීමට සාපේක්ෂව විෂම ක්රියාකාරකම් නියෝජනය කරයි.
ව්යවසාය අංශයේ බහුලව භාවිතා වන අවස්ථා වන්නේ තර්ජන හඳුනා ගැනීම සහ ප්රතිචාර දැක්වීම මෙන්ම අභ්යන්තර තර්ජන හඳුනා ගැනීම සහ ඒවාට ප්රතිචාර දැක්වීම (බොහෝ විට සම්මුතියට පත් අභ්යන්තරිකයින්; සමහර විට අභ්යන්තර ප්රහාරකයන්).
UEBA වගේ තීරණ, සහ කාර්යය, නිශ්චිත මෙවලමක් තුළ ගොඩනගා ඇත:
- විසඳුම වන්නේ SIEM විසඳුම් වෙන වෙනම අලෙවි කරන වෙළෙන්දන් ඇතුළු “පිරිසිදු” UEBA වේදිකා නිෂ්පාදකයින් ය. පරිශීලකයින් සහ ආයතන යන දෙඅංශයේම හැසිරීම් විශ්ලේෂණවල පුළුල් පරාසයක ව්යාපාරික ගැටලු කෙරෙහි අවධානය යොමු කර ඇත.
- Embedded - UEBA කාර්යයන් සහ තාක්ෂණයන් ඔවුන්ගේ විසඳුම්වලට ඒකාබද්ධ කරන නිෂ්පාදකයින්/අංශ. සාමාන්යයෙන් වඩාත් නිශ්චිත ව්යාපාරික ගැටළු සමූහයක් කෙරෙහි අවධානය යොමු කෙරේ. මෙම අවස්ථාවෙහිදී, පරිශීලකයින්ගේ සහ/හෝ ආයතනවල හැසිරීම විශ්ලේෂණය කිරීමට UEBA භාවිතා වේ.
ගැටළු විසඳන්නන්, විශ්ලේෂණ සහ දත්ත මූලාශ්ර ඇතුළුව අක්ෂ තුනක් ඔස්සේ ගාට්නර් UEBA බලයි (රූපය බලන්න).
"පිරිසිදු" UEBA වේදිකා එදිරිව බිල්ට් UEBA
ගාට්නර් "පිරිසිදු" UEBA වේදිකාවක් විසඳුම් ලෙස සලකයි:
- වරප්රසාද ලත් පරිශීලකයින් අධීක්ෂණය කිරීම හෝ සංවිධානයෙන් පිටත දත්ත ප්රතිදානය කිරීම වැනි නිශ්චිත ගැටළු කිහිපයක් විසඳා ගැනීම සහ වියුක්ත “විෂම පරිශීලක ක්රියාකාරකම් නිරීක්ෂණය කිරීම” පමණක් නොවේ;
- මූලික විශ්ලේෂණ ප්රවේශයන් මත අවශ්යයෙන්ම පදනම් වූ සංකීර්ණ විශ්ලේෂණ භාවිතය ඇතුළත් වේ;
- යටිතල ව්යුහය තුළ වෙනම නියෝජිතයන් යෙදවීමේ අනිවාර්ය අවශ්යතාවයකින් තොරව, ගොඩනඟන ලද දත්ත මූලාශ්ර යාන්ත්රණ සහ ලොග් කළමනාකරණ මෙවලම්, දත්ත විල සහ/හෝ SIEM පද්ධති ඇතුළුව දත්ත එකතු කිරීම සඳහා විකල්ප කිහිපයක් සැපයීම;
- ඇතුළත් කිරීමට වඩා ස්වාධීන විසඳුම් ලෙස මිලදී ගෙන යෙදවිය හැක
වෙනත් නිෂ්පාදනවල සංයුතිය.
පහත වගුව ප්රවේශ දෙක සංසන්දනය කරයි.
වගුව 1. "පිරිසිදු" UEBA විසඳුම් එදිරිව ගොඩනඟන ලද ඒවා
| ප්රවර්ගය | "පිරිසිදු" UEBA වේදිකා | බිල්ට් UEBA සමඟ වෙනත් විසඳුම් |
| විසඳිය යුතු ගැටලුව | පරිශීලක හැසිරීම් සහ ආයතන පිළිබඳ විශ්ලේෂණය. | දත්ත නොමැතිකම UEBA හට පරිශීලකයන්ගේ හෝ ආයතනවල පමණක් හැසිරීම් විශ්ලේෂණය කිරීමට සීමා විය හැක. |
| විසඳිය යුතු ගැටලුව | පුළුල් පරාසයක ගැටළු විසඳීමට සේවය කරයි | සීමිත කාර්යයන් සමූහයක් සඳහා විශේෂීකරණය කරයි |
| විශ්ලේෂණ | විවිධ විශ්ලේෂණ ක්රම භාවිතා කරමින් විෂමතා හඳුනා ගැනීම - ප්රධාන වශයෙන් සංඛ්යාන ආකෘති සහ යන්ත්ර ඉගෙනීම, රීති සහ අත්සන් සමඟින්. පරිශීලක සහ ආයතන ක්රියාකාරකම් ඔවුන්ගේ සහ සගයන්ගේ පැතිකඩවලට නිර්මාණය කිරීමට සහ සංසන්දනය කිරීමට ගොඩනඟන ලද විශ්ලේෂණ සමඟ පැමිණේ. | පිරිසිදු UEBA හා සමාන නමුත් විශ්ලේෂණය පරිශීලකයින්ට සහ/හෝ ආයතනවලට පමණක් සීමා කළ හැක. |
| විශ්ලේෂණ | උසස් විශ්ලේෂණ හැකියාවන්, නීති මගින් පමණක් සීමා නොවේ. උදාහරණයක් ලෙස, ආයතනවල ගතික කාණ්ඩගත කිරීම් සහිත පොකුරු ඇල්ගොරිතමයක්. | "පිරිසිදු" UEBA හා සමාන නමුත් සමහර කාවැද්දූ තර්ජන මාදිලිවල ආයතන කාණ්ඩගත කිරීම අතින් පමණක් වෙනස් කළ හැක. |
| විශ්ලේෂණ | පරිශීලකයින්ගේ සහ අනෙකුත් ආයතනවල ක්රියාකාරකම් සහ හැසිරීම් සහසම්බන්ධය (උදාහරණයක් ලෙස, Bayesian ජාල භාවිතා කිරීම) සහ විෂම ක්රියාකාරකම් හඳුනා ගැනීම සඳහා පුද්ගල අවදානම් හැසිරීම් එකතු කිරීම. | පිරිසිදු UEBA හා සමාන නමුත් විශ්ලේෂණය පරිශීලකයින්ට සහ/හෝ ආයතනවලට පමණක් සීමා කළ හැක. |
| දත්ත මූලාශ්ර | දත්ත මූලාශ්රවලින් පරිශීලකයන් සහ ආයතන පිළිබඳ සිදුවීම් සෘජුවම ගොඩනඟන ලද යාන්ත්රණ හෝ SIEM හෝ දත්ත ලේක් වැනි පවතින දත්ත ගබඩා හරහා ලබා ගැනීම. | දත්ත ලබා ගැනීමේ යාන්ත්රණ සාමාන්යයෙන් සෘජු පමණක් වන අතර පරිශීලකයින්ට සහ/හෝ වෙනත් ආයතනවලට පමණක් බලපායි. ලොග් කළමනාකරණ මෙවලම් / SIEM / දත්ත විල භාවිතා නොකරන්න. |
| දත්ත මූලාශ්ර | විසඳුම ප්රධාන දත්ත මූලාශ්රය ලෙස ජාල ගමනාගමනය මත පමණක් විශ්වාසය නොතැබිය යුතු අතර, එය ටෙලිමෙට්රි එකතු කිරීම සඳහා එහිම නියෝජිතයන් මත පමණක් රඳා නොසිටිය යුතුය. | විසඳුමට අවධානය යොමු කළ හැක්කේ ජාල ගමනාගමනය (උදාහරණයක් ලෙස, NTA - ජාල ගමනාගමන විශ්ලේෂණය) සහ/හෝ අවසාන උපාංග මත එහි නියෝජිතයන් භාවිතා කිරීම (උදාහරණයක් ලෙස, සේවක අධීක්ෂණ උපයෝගිතා). |
| දත්ත මූලාශ්ර | පරිශීලක/අස්ථි දත්ත සන්දර්භය සමඟ සංතෘප්ත කිරීම. තථ්ය කාලීනව ව්යුහගත සිදුවීම් එකතු කිරීමට මෙන්ම, තොරතුරු තාක්ෂණ නාමාවලි වලින් ව්යුහගත/ව්යුහගත නොවන සමෝධානික දත්ත - උදාහරණයක් ලෙස, Active Directory (AD), හෝ වෙනත් යන්ත්රයෙන් කියවිය හැකි තොරතුරු සම්පත් (උදාහරණයක් ලෙස, HR දත්ත සමුදායන්) සඳහා සහය දක්වයි. | පිරිසිදු UEBA හා සමාන නමුත් සන්දර්භීය දත්තවල විෂය පථය එක් එක් අවස්ථාවට වෙනස් විය හැක. AD සහ LDAP යනු Embedded UEBA විසඳුම් මගින් භාවිතා කරන වඩාත් පොදු සන්දර්භීය දත්ත ගබඩා වේ. |
| ලබාගත හැකිය | ලැයිස්තුගත විශේෂාංග ස්වාධීන නිෂ්පාදනයක් ලෙස සපයයි. | එය ගොඩනගා ඇති බාහිර විසඳුමක් මිලට නොගෙන බිල්ට් UEBA ක්රියාකාරීත්වය මිලදී ගත නොහැක. |
| මූලාශ්රය: ගාට්නර් (මැයි 2019) |
මේ අනුව, ඇතැම් ගැටළු විසඳීම සඳහා, Embedded UEBA මූලික UEBA විශ්ලේෂණ භාවිතා කළ හැකිය (උදාහරණයක් ලෙස, සරල අධීක්ෂණය නොකළ යන්ත්ර ඉගෙනීම), නමුත් ඒ සමඟම, හරියටම අවශ්ය දත්ත වෙත ප්රවේශ වීම හේතුවෙන්, එය “පිරිසිදු” වලට වඩා සමස්තයක් ලෙස වඩා effective ලදායී විය හැකිය. UEBA විසඳුම. ඒ අතරම, "පිරිසිදු" UEBA වේදිකා, අපේක්ෂිත පරිදි, ගොඩනඟන ලද UEBA මෙවලමට සාපේක්ෂව ප්රධාන දැනුම ලෙස වඩාත් සංකීර්ණ විශ්ලේෂණ ඉදිරිපත් කරයි. මෙම ප්රතිඵල 2 වගුවේ සාරාංශ කර ඇත.
වගුව 2. "පිරිසිදු" සහ බිල්ට් UEBA අතර ඇති වෙනස්කම්වල ප්රතිඵලය
| ප්රවර්ගය | "පිරිසිදු" UEBA වේදිකා | බිල්ට් UEBA සමඟ වෙනත් විසඳුම් |
| විශ්ලේෂණ | විවිධ ව්යාපාරික ගැටළු විසඳීම සඳහා ඇති අදාළත්වය වඩාත් සංකීර්ණ විශ්ලේෂණ සහ යන්ත්ර ඉගෙනුම් ආකෘතීන් මත අවධාරණය කරමින් වඩාත් විශ්වීය UEBA ශ්රිත සමූහයක් ඇඟවුම් කරයි. | කුඩා ව්යාපාරික ගැටළු සමූහයක් වෙත අවධානය යොමු කිරීම යනු සරල තර්කනය සහිත යෙදුම්-විශේෂිත ආකෘතීන් කෙරෙහි අවධානය යොමු කරන අතිශයින් විශේෂිත වූ විශේෂාංග වේ. |
| විශ්ලේෂණ | එක් එක් යෙදුම් අවස්ථා සඳහා විශ්ලේෂණාත්මක ආකෘතිය අභිරුචිකරණය කිරීම අවශ්ය වේ. | UEBA ගොඩනගා ඇති මෙවලම සඳහා විශ්ලේෂණාත්මක ආකෘති පූර්ව-වින්යාස කර ඇත. බිල්ට් UEBA සහිත මෙවලමක් සාමාන්යයෙන් ඇතැම් ව්යාපාරික ගැටලු විසඳීමේදී වේගවත් ප්රතිඵල ලබා ගනී. |
| දත්ත මූලාශ්ර | ආයතනික යටිතල ව්යුහයේ සෑම අස්සක් මුල්ලක් නෑරම දත්ත මූලාශ්ර වෙත ප්රවේශය. | අඩු දත්ත මූලාශ්ර, සාමාන්යයෙන් ඔවුන් සඳහා නියෝජිතයින් හෝ UEBA කාර්යයන් සහිත මෙවලම මගින් සීමා වේ. |
| දත්ත මූලාශ්ර | එක් එක් ලොගයේ අඩංගු තොරතුරු දත්ත මූලාශ්රයෙන් සීමා විය හැකි අතර මධ්යගත UEBA මෙවලම සඳහා අවශ්ය සියලුම දත්ත අඩංගු නොවිය හැක. | නියෝජිතයා විසින් එකතු කරන ලද සහ UEBA වෙත සම්ප්රේෂණය කරන ලද අමු දත්තවල ප්රමාණය සහ විස්තර විශේෂයෙන් වින්යාසගත කළ හැක. |
| ගෘහ නිර්මාණ ශිල්පය | එය සංවිධානයක් සඳහා සම්පූර්ණ UEBA නිෂ්පාදනයකි. SIEM පද්ධතියක හෝ දත්ත විලක හැකියාවන් භාවිතයෙන් ඒකාබද්ධ කිරීම පහසුය. | UEBA ගොඩනගා ඇති එක් එක් විසඳුම් සඳහා වෙනම UEBA විශේෂාංග කට්ටලයක් අවශ්ය වේ. Embedded UEBA විසඳුම් සඳහා බොහෝ විට නියෝජිතයන් ස්ථාපනය කිරීම සහ දත්ත කළමනාකරණය කිරීම අවශ්ය වේ. |
| අනුකලනය | එක් එක් අවස්ථාවෙහිදී අනෙකුත් මෙවලම් සමඟ UEBA විසඳුම අතින් ඒකාබද්ධ කිරීම. "ප්රතිසම අතර හොඳම" ප්රවේශය මත පදනම්ව එහි තාක්ෂණ තොගය ගොඩනගා ගැනීමට ආයතනයකට ඉඩ දෙන්න. | UEBA ශ්රිතවල ප්රධාන මිටි දැනටමත් නිෂ්පාදකයා විසින් මෙවලම තුළම ඇතුළත් කර ඇත. UEBA මොඩියුලය ගොඩනඟා ඇති අතර ඉවත් කළ නොහැක, එබැවින් පාරිභෝගිකයින්ට එය ඔවුන්ගේම දෙයක් සමඟ ප්රතිස්ථාපනය කළ නොහැක. |
| මූලාශ්රය: ගාට්නර් (මැයි 2019) |
UEBA කාර්යයක් ලෙස
UEBA අතිරේක විශ්ලේෂණවලින් ප්රයෝජන ගත හැකි අන්තයේ සිට අවසානය දක්වා වූ සයිබර් ආරක්ෂණ විසඳුම්වල අංගයක් බවට පත්වෙමින් තිබේ. UEBA මෙම විසඳුම් වලට යටින් පවතින අතර, පරිශීලක සහ/හෝ ආයතන හැසිරීම් රටා මත පදනම් වූ උසස් විශ්ලේෂණවල ප්රබල තට්ටුවක් සපයයි.
දැනට වෙළඳපොලේ ඇති UEBA ක්රියාකාරීත්වය තාක්ෂණික විෂය පථය අනුව කාණ්ඩගත කර ඇති පහත විසඳුම් වල ක්රියාත්මක වේ:
- දත්ත කේන්ද්ර කරගත් විගණනය සහ ආරක්ෂාව, ව්යුහගත සහ ව්යුහගත නොවන දත්ත ගබඩාවේ (එනම් DCAP) ආරක්ෂාව වැඩි දියුණු කිරීම කෙරෙහි අවධානය යොමු කරන විකුණුම්කරුවන් වේ.
මෙම වෙළෙන්දන් කාණ්ඩයේ, ගාට්නර් සටහන් කරන්නේ, වෙනත් දේ අතර, , විවිධ තොරතුරු ගබඩා හරහා ව්යුහගත නොවන දත්ත අවසර, ප්රවේශය සහ භාවිතයේ වෙනස්කම් නිරීක්ෂණය කිරීමට පරිශීලක හැසිරීම් විශ්ලේෂණ ඉදිරිපත් කරයි.
- CASB පද්ධති, අනුවර්තන ප්රවේශ පාලන පද්ධතියක් භාවිතයෙන් අනවශ්ය උපාංග, පරිශීලකයින් සහ යෙදුම් අනුවාද සඳහා ක්ලවුඩ් සේවා වෙත ප්රවේශය අවහිර කිරීමෙන් වලාකුළු මත පදනම් වූ SaaS යෙදුම්වල විවිධ තර්ජනවලට එරෙහිව ආරක්ෂාව ලබා දීම.
සියලුම වෙළඳපල ප්රමුඛ CASB විසඳුම් UEBA හැකියාවන් ඇතුළත් වේ.
- DLP විසඳුම් - සංවිධානයෙන් පිටත තීරණාත්මක දත්ත මාරු කිරීම හෝ එහි අනිසි භාවිතය හඳුනා ගැනීම කෙරෙහි අවධානය යොමු කර ඇත.
DLP අත්තිකාරම් බොහෝ දුරට පදනම් වන්නේ අන්තර්ගතය අවබෝධ කර ගැනීම මත වන අතර, පරිශීලක, යෙදුම, ස්ථානය, වේලාව, සිදුවීම්වල ප්රවේගය සහ වෙනත් බාහිර සාධක වැනි සන්දර්භය අවබෝධ කර ගැනීම කෙරෙහි අඩු අවධානයක් යොමු කරයි. ඵලදායී වීමට නම්, DLP නිෂ්පාදන අන්තර්ගතය සහ සන්දර්භය යන දෙකම හඳුනාගත යුතුය. බොහෝ නිෂ්පාදකයින් UEBA ක්රියාකාරීත්වය ඔවුන්ගේ විසඳුම් වලට ඒකාබද්ධ කිරීමට පටන් ගන්නේ එබැවිනි.
- සේවක අධීක්ෂණය සාමාන්යයෙන් නීතිමය ක්රියාමාර්ග සඳහා සුදුසු දත්ත ආකෘතියකින් (අවශ්ය නම්) සේවක ක්රියා වාර්තා කිරීමට සහ නැවත ධාවනය කිරීමට ඇති හැකියාවයි.
නිරන්තරයෙන් නිරීක්ෂණය කරන පරිශීලකයන් බොහෝ විට අතින් පෙරීම සහ මානව විශ්ලේෂණය අවශ්ය වන අති විශාල දත්ත ප්රමාණයක් ජනනය කරයි. එබැවින්, මෙම විසඳුම්වල ක්රියාකාරීත්වය වැඩිදියුණු කිරීමට සහ අධි අවදානම් සිදුවීම් පමණක් හඳුනා ගැනීමට අධීක්ෂණ පද්ධති තුළ UEBA භාවිතා වේ.
- අන්ත ලක්ෂ්ය ආරක්ෂාව - අන්ත ලක්ෂ්ය හඳුනාගැනීම් සහ ප්රතිචාර (EDR) විසඳුම් සහ අන්ත ලක්ෂ්ය ආරක්ෂණ වේදිකා (EPP) ප්රබල උපකරණ සහ මෙහෙයුම් පද්ධති ටෙලිමිතිය සපයයි.
අවසන් උපාංග.එබඳු පරිශීලක-ආශ්රිත ටෙලිමෙට්රි බිල්ට් UEBA ක්රියාකාරීත්වය සැපයීමට විශ්ලේෂණය කළ හැක.
- මාර්ගගත වංචාව - ඔන්ලයින් වංචා හඳුනාගැනීමේ විසඳුම් වංචාවක්, අනිෂ්ට මෘදුකාංගයක් හෝ අනාරක්ෂිත සම්බන්ධතා/බ්රවුසර් ගමනාගමන බාධා කිරීම් හරහා ගනුදෙනුකරුවෙකුගේ ගිණුමේ සම්මුතියක් පෙන්නුම් කරන විකෘති ක්රියාකාරකම් අනාවරණය කරයි.
බොහෝ වංචා විසඳුම් UEBA හි සාරය, ගණුදෙණු විශ්ලේෂණය සහ උපාංග මැනීම භාවිතා කරයි, අනන්යතා දත්ත ගබඩාවේ සම්බන්ධතා ගැලපීමෙන් වඩාත් දියුණු පද්ධති ඒවාට අනුපූරක වේ.
- IAM සහ ප්රවේශ පාලනය - ගාට්නර් ප්රවේශ පාලන පද්ධති වෙළෙන්දන් අතර පරිණාමීය ප්රවණතාවක් සටහන් කරයි පිරිසිදු වෙළෙන්දන් සමඟ ඒකාබද්ධ වීමට සහ ඔවුන්ගේ නිෂ්පාදනවලට UEBA ක්රියාකාරීත්වයක් ගොඩනඟා ගන්න.
- IAM සහ අනන්යතා පාලනය සහ පරිපාලන (IGA) පද්ධති විෂමතා හඳුනා ගැනීම, සමාන ආයතනවල ගතික කණ්ඩායම් විශ්ලේෂණය, පිවිසුම් විශ්ලේෂණය සහ ප්රවේශ ප්රතිපත්ති විශ්ලේෂණය වැනි හැසිරීම් සහ අනන්යතා විශ්ලේෂණ අවස්ථා ආවරණය කිරීමට UEBA භාවිතා කරන්න.
- IAM සහ වරප්රසාදිත ප්රවේශ කළමනාකරණය (PAM) – පරිපාලන ගිණුම් භාවිතය අධීක්ෂණය කිරීමේ කාර්යභාරය හේතුවෙන්, පරිපාලන ගිණුම් භාවිතා කළේ කෙසේද, ඇයි, කවදාද සහ කොතැනද යන්න පෙන්වීමට PAM විසඳුම්වලට ටෙලිමෙට්රි ඇත. පරිපාලකයින්ගේ විෂම හැසිරීම් හෝ ද්වේෂසහගත චේතනාවන් සඳහා UEBA හි අන්තර්ගත ක්රියාකාරීත්වය භාවිතයෙන් මෙම දත්ත විශ්ලේෂණය කළ හැක.
- නිෂ්පාදකයින් NTA (ජාල ගමනාගමන විශ්ලේෂණය) - ආයතනික ජාල වල සැක කටයුතු ක්රියාකාරකම් හඳුනා ගැනීමට යන්ත්ර ඉගෙනීම, උසස් විශ්ලේෂණ සහ රීති මත පදනම් වූ හඳුනාගැනීම් වල එකතුවක් භාවිතා කරන්න.
NTA මෙවලම් අඛණ්ඩව මූලාශ්ර ගමනාගමනය සහ/හෝ ප්රවාහ වාර්තා විශ්ලේෂණය කරයි (උදා: NetFlow) සාමාන්ය ජාල හැසිරීම් පිළිබිඹු කරන ආකෘති ගොඩනැගීමට, මූලික වශයෙන් ආයතන හැසිරීම් විශ්ලේෂණ කෙරෙහි අවධානය යොමු කරයි.
- සියම් - බොහෝ SIEM වෙළෙන්දන්ට දැන් උසස් දත්ත විශ්ලේෂණ ක්රියාකාරීත්වයක් SIEM වෙත ගොඩනගා ඇත, නැතහොත් වෙනම UEBA මොඩියුලයක් ලෙස ඇත. 2018 පුරාවට සහ මේ දක්වා 2019 දී, ලිපියේ සාකච්ඡා කර ඇති පරිදි SIEM සහ UEBA ක්රියාකාරීත්වය අතර මායිම් අඛණ්ඩව බොඳ වී ඇත. . SIEM පද්ධති විශ්ලේෂණ සමඟ වැඩ කිරීමට සහ වඩාත් සංකීර්ණ යෙදුම් අවස්ථා ලබා දීමට වඩා හොඳ වී ඇත.
UEBA යෙදුම් අවස්ථා
UEBA විසඳුම් මඟින් පුළුල් පරාසයක ගැටලු විසඳා ගත හැකිය. කෙසේ වෙතත්, ගාට්නර් සේවාලාභීන් එකඟ වන්නේ පරිශීලක හැසිරීම් සහ අනෙකුත් ආයතන අතර නිරන්තර සහසම්බන්ධතා ප්රදර්ශනය කිරීම සහ විශ්ලේෂණය කිරීම මගින් ලබා ගන්නා විවිධ තර්ජන කාණ්ඩ හඳුනා ගැනීම මූලික භාවිත අවස්ථාවට ඇතුළත් බවයි:
- දත්තවල අනවසර ප්රවේශය සහ චලනය;
- වරප්රසාද ලත් පරිශීලකයින්ගේ සැක කටයුතු හැසිරීම්, සේවකයින්ගේ අනිෂ්ට හෝ අනවසර ක්රියාකාරකම්;
- සම්මත නොවන ප්රවේශය සහ වලාකුළු සම්පත් භාවිතය;
- I.
UEBA සාධාරණීකරණය කළ හැකි වංචා හෝ සේවක නිරීක්ෂණ වැනි සයිබර් ආරක්ෂණ නොවන භාවිත අවස්ථා ගණනාවක් ද ඇත. කෙසේ වෙතත්, ඔවුන්ට බොහෝ විට තොරතුරු තාක්ෂණ සහ තොරතුරු ආරක්ෂාව සම්බන්ධ නොවන දත්ත මූලාශ්ර හෝ මෙම ක්ෂේත්රය පිළිබඳ ගැඹුරු අවබෝධයක් සහිත විශේෂිත විශ්ලේෂණ ආකෘති අවශ්ය වේ. UEBA නිෂ්පාදකයින් සහ ඔවුන්ගේ ගනුදෙනුකරුවන් යන දෙදෙනාම එකඟ වන ප්රධාන අවස්ථා පහ සහ යෙදුම් පහත විස්තර කෙරේ.
"ද්වේෂ සහගත අභ්යන්තර"
මෙම අවස්ථාව ආවරණය කරන UEBA විසඳුම් සපයන්නන් අසාමාන්ය, "නරක" හෝ ද්වේෂසහගත හැසිරීම් සඳහා සේවකයින් සහ විශ්වාසදායක කොන්ත්රාත්කරුවන් පමණක් නිරීක්ෂණය කරයි. මෙම ප්රවීණත්වයේ වෙළෙන්දන් සේවා ගිණුම්වල හෝ වෙනත් මානව නොවන ආයතනවල හැසිරීම නිරීක්ෂණය හෝ විශ්ලේෂණය නොකරයි. බොහෝ දුරට මේ නිසා, ඔවුන් දැනට පවතින ගිණුම් හැකර්වරුන් විසින් අත්පත් කර ගන්නා උසස් තර්ජන හඳුනා ගැනීම කෙරෙහි අවධානය යොමු නොකරයි. ඒ වෙනුවට හානිකර ක්රියාකාරකම්වලට සම්බන්ධ සේවකයින් හඳුනා ගැනීම ඔවුන්ගේ අරමුණයි.
අත්යවශ්යයෙන්ම, “ද්වේෂ සහගත අභ්යන්තරිකයෙකු” පිළිබඳ සංකල්පය පැන නගින්නේ තම සේවායෝජකයාට හානි කිරීමට ක්රම සොයන ද්වේෂසහගත චේතනාවෙන් යුත් විශ්වාසදායක පරිශීලකයින්ගෙන් ය. ද්වේෂසහගත චේතනාව මැනීමට අපහසු නිසා, මෙම කාණ්ඩයේ හොඳම වෙළෙන්දන් විගණන ලොගවල පහසුවෙන් ලබාගත නොහැකි සන්දර්භීය හැසිරීම් දත්ත විශ්ලේෂණය කරයි.
මෙම අවකාශයේ විසඳුම් සපයන්නන් හැසිරීම සඳහා සන්දර්භය සැපයීම සඳහා ඊමේල් අන්තර්ගතය, ඵලදායිතා වාර්තා, හෝ සමාජ මාධ්ය තොරතුරු වැනි ව්යුහගත නොකළ දත්ත ප්රශස්ත ලෙස එකතු කර විශ්ලේෂණය කරයි.
සම්මුතිගත අභ්යන්තර සහ ආක්රමණශීලී තර්ජන
අභියෝගය වන්නේ ප්රහාරකයා සංවිධානයට ප්රවේශය ලබාගෙන තොරතුරු තාක්ෂණ යටිතල ව්යුහය තුළ ගමන් කිරීමට පටන් ගත් පසු “නරක” හැසිරීම ඉක්මනින් හඳුනාගෙන විශ්ලේෂණය කිරීමයි.
නොදන්නා හෝ තවමත් සම්පූර්ණයෙන් වටහා නොගත් තර්ජන වැනි ප්රකාශිත තර්ජන (APTs) හඳුනා ගැනීම අතිශයින් දුෂ්කර වන අතර බොහෝ විට නීත්යානුකූල පරිශීලක ක්රියාකාරකම් හෝ සේවා ගිණුම් පිටුපස සැඟවී ඇත. එවැනි තර්ජන සාමාන්යයෙන් සංකීර්ණ මෙහෙයුම් ආකෘතියක් ඇත (උදාහරණයක් ලෙස, ලිපිය බලන්න "") හෝ ඔවුන්ගේ හැසිරීම තවමත් හානිකර ලෙස තක්සේරු කර නොමැත. මෙය සරල විශ්ලේෂණ (රටා, එළිපත්ත හෝ සහසම්බන්ධතා රීති අනුව ගැලපීම වැනි) භාවිතයෙන් ඒවා හඳුනා ගැනීම අපහසු කරයි.
කෙසේ වෙතත්, මෙම ආක්රමණශීලී තර්ජන බොහෝමයක් සම්මත නොවන හැසිරීම් ඇති කරයි, බොහෝ විට සැක නොකරන පරිශීලකයන් හෝ ආයතන (එනම් සම්මුතිගත අභ්යන්තරිකයින්) සම්බන්ධ වේ. UEBA ශිල්පීය ක්රම මගින් එවැනි තර්ජන හඳුනා ගැනීමට, සංඥා-සිට-ශබ්ද අනුපාතය වැඩි දියුණු කිරීමට, දැනුම්දීම් පරිමාව ඒකාබද්ධ කිරීමට සහ අඩු කිරීමට, ඉතිරි ඇඟවීම්වලට ප්රමුඛත්වය දීමට, සහ ඵලදායි සිදුවීම් ප්රතිචාර සහ විමර්ශනයට පහසුකම් සැලසීමට රසවත් අවස්ථා කිහිපයක් ලබා දේ.
මෙම ගැටලුකාරී ප්රදේශය ඉලක්ක කරගත් UEBA වෙළෙන්දන් බොහෝ විට සංවිධානයේ SIEM පද්ධති සමඟ ද්වි-දිශානුගත ඒකාබද්ධතාවයක් ඇත.
දත්ත පිටකිරීම
මෙම නඩුවේ කාර්යය වන්නේ සංවිධානයෙන් පිටත දත්ත මාරු කරන කාරනය හඳුනා ගැනීමයි.
මෙම අභියෝගය කෙරෙහි අවධානය යොමු කරන විකුණුම්කරුවන් සාමාන්යයෙන් විෂමතා හඳුනාගැනීම් සහ උසස් විශ්ලේෂණ සමඟ DLP හෝ DAG හැකියාවන් භාවිතා කරයි, එමඟින් සංඥා-ට-ශබ්ද අනුපාතය වැඩි දියුණු කිරීම, දැනුම්දීම් පරිමාව ඒකාබද්ධ කිරීම සහ ඉතිරි ප්රේරක සඳහා ප්රමුඛත්වය දීම. අමතර සන්දර්භයක් සඳහා, වෙළෙන්දන් සාමාන්යයෙන් ජාල ගමනාගමනය (වෙබ් ප්රොක්සි වැනි) සහ අන්ත ලක්ෂ්ය දත්ත මත දැඩි ලෙස රඳා පවතී, මෙම දත්ත මූලාශ්ර විශ්ලේෂණයට දත්ත අපද්රව්ය විමර්ශන සඳහා සහාය විය හැක.
සංවිධානයට තර්ජනය කරන අභ්යන්තර පුද්ගලයින් සහ බාහිර හැකර්වරුන් අල්ලා ගැනීමට දත්ත පිටකිරීමේ අනාවරණය භාවිතා කරයි.
වරප්රසාද ලත් ප්රවේශය හඳුනා ගැනීම සහ කළමනාකරණය කිරීම
මෙම ප්රවීණතා ක්ෂේත්රයේ ස්වාධීන UEBA විසඳුම් නිෂ්පාදකයින් අධික වරප්රසාද හෝ විෂම ප්රවේශය හඳුනා ගැනීම සඳහා දැනටමත් පිහිටුවා ඇති අයිතිවාසිකම් පද්ධතියක පසුබිමට එරෙහිව පරිශීලක හැසිරීම නිරීක්ෂණය කර විශ්ලේෂණය කරයි. මෙය වරප්රසාදිත සහ සේවා ගිණුම් ඇතුළුව සියලු වර්ගවල පරිශීලකයින් සහ ගිණුම් සඳහා අදාළ වේ. අවශ්ය ප්රමාණයට වඩා අක්රිය ගිණුම් සහ පරිශීලක වරප්රසාද ඉවත් කිරීමට සංවිධාන ද UEBA භාවිතා කරයි.
සිදුවීම් ප්රමුඛත්වය
මෙම කර්තව්යයේ පරමාර්ථය වන්නේ කුමන සිද්ධීන් හෝ විභව සිදුවීම් පළමුව ආමන්ත්රණය කළ යුතුද යන්න තේරුම් ගැනීමට ඔවුන්ගේ තාක්ෂණ තොගයේ විසඳුම් මගින් ජනනය කරන දැනුම්දීම්වලට ප්රමුඛත්වය දීමයි. UEBA ක්රමවේද සහ මෙවලම් ලබා දී ඇති සංවිධානයකට විශේෂයෙන් විෂම හෝ විශේෂයෙන් අනතුරුදායක සිදුවීම් හඳුනා ගැනීමට ප්රයෝජනවත් වේ. මෙම අවස්ථාවෙහිදී, UEBA යාන්ත්රණය මූලික මට්ටමේ ක්රියාකාරකම් සහ තර්ජන ආකෘති භාවිතා කරනවා පමණක් නොව, සමාගමේ ආයතනික ව්යුහය පිළිබඳ තොරතුරු සමඟ දත්ත සංතෘප්ත කරයි (නිදසුනක් ලෙස, විවේචනාත්මක සම්පත් හෝ භූමිකාවන් සහ සේවකයින්ගේ ප්රවේශ මට්ටම්).
UEBA විසඳුම් ක්රියාත්මක කිරීමේ ගැටළු
UEBA විසඳුම්වල වෙළඳපල වේදනාව ඔවුන්ගේ ඉහළ මිල, සංකීර්ණ ක්රියාත්මක කිරීම, නඩත්තු කිරීම සහ භාවිතයයි. සමාගම් විවිධ අභ්යන්තර ද්වාර ගණන සමඟ පොරබදමින් සිටින අතර, ඔවුන්ට තවත් කොන්සෝලයක් ලැබේ. නව මෙවලමක කාලය සහ සම්පත් ආයෝජනයේ ප්රමාණය රඳා පවතින්නේ අතේ ඇති කාර්යයන් සහ ඒවා විසඳීමට අවශ්ය විශ්ලේෂණ වර්ග මත වන අතර බොහෝ විට විශාල ආයෝජන අවශ්ය වේ.
බොහෝ නිෂ්පාදකයින් පවසන දෙයට පටහැනිව, UEBA යනු දින ගණනක් අඛණ්ඩව ධාවනය කළ හැකි "එය සකසා අමතක කරන්න" මෙවලමක් නොවේ.
උදාහරණයක් ලෙස, Gartner සේවාදායකයින්, මෙම විසඳුම ක්රියාත්මක කරන ලද ගැටළු විසඳීමේ පළමු ප්රතිඵල ලබා ගැනීම සඳහා මුල සිටම UEBA මුලපිරීමක් දියත් කිරීමට මාස 3 සිට 6 දක්වා ගත වන බව සලකන්න. සංවිධානයක අභ්යන්තර තර්ජන හඳුනා ගැනීම වැනි වඩාත් සංකීර්ණ කාර්යයන් සඳහා, කාලය මාස 18 දක්වා වැඩි වේ.
UEBA ක්රියාත්මක කිරීමේ දුෂ්කරතාවයට සහ මෙවලමෙහි අනාගත කාර්යක්ෂමතාවයට බලපාන සාධක:
- සංවිධාන ගෘහ නිර්මාණ ශිල්පය, ජාල ස්ථල විද්යාව සහ දත්ත කළමනාකරණ ප්රතිපත්තිවල සංකීර්ණත්වය
- නිවැරදි මට්ටමේ සවිස්තරාත්මක දත්ත ලබා ගැනීම
- වෙළෙන්දාගේ විශ්ලේෂණ ඇල්ගොරිතමවල සංකීර්ණත්වය-උදාහරණයක් ලෙස, සංඛ්යාන ආකෘති භාවිතය සහ යන්ත්ර ඉගෙනීම එදිරිව සරල රටා සහ රීති.
- පෙර-වින්යාසගත කළ විශ්ලේෂණ ප්රමාණය ඇතුළත් වේ-එනම්, එක් එක් කාර්යය සඳහා රැස් කළ යුතු දත්ත මොනවාද යන්න සහ විශ්ලේෂණය සිදු කිරීමට වඩාත්ම වැදගත් වන විචල්යයන් සහ ගුණාංග මොනවාද යන්න නිෂ්පාදකයාගේ අවබෝධය.
- නිෂ්පාදකයාට අවශ්ය දත්ත සමඟ ස්වයංක්රීයව ඒකාබද්ධ වීම කොතරම් පහසුද?
උදාහරණ වශයෙන්:
- UEBA විසඳුමක් එහි දත්තවල ප්රධාන මූලාශ්රය ලෙස SIEM පද්ධතියක් භාවිතා කරන්නේ නම්, SIEM අවශ්ය දත්ත මූලාශ්රවලින් තොරතුරු රැස් කරන්නේද?
- අවශ්ය සිදුවීම් ලොග සහ ආයතනික සන්දර්භය දත්ත UEBA විසඳුමකට යොමු කළ හැකිද?
- SIEM පද්ධතිය තවමත් UEBA විසඳුමට අවශ්ය දත්ත මූලාශ්ර එකතු කර පාලනය කර නොමැති නම්, ඒවා එහි මාරු කරන්නේ කෙසේද?
- සංවිධානය සඳහා යෙදුම් දර්ශනය කෙතරම් වැදගත්ද, එයට කොපමණ දත්ත ප්රභවයන් අවශ්යද සහ මෙම කාර්යය නිෂ්පාදකයාගේ ප්රවීණතා ක්ෂේත්රය සමඟ කොපමණ ප්රමාණයක් අතිච්ඡාදනය වේද.
- ආයතනික පරිණතභාවය සහ සහභාගීත්වය අවශ්ය වන්නේ කුමන මට්ටමේද - උදාහරණයක් ලෙස, නීති සහ ආකෘති නිර්මාණය, සංවර්ධනය සහ ශෝධනය; ඇගයීම සඳහා විචල්යයන් සඳහා බර පැවරීම; හෝ අවදානම් තක්සේරු කිරීමේ සීමාව සකස් කිරීම.
- සංවිධානයේ වත්මන් ප්රමාණය සහ එහි අනාගත අවශ්යතා සමඟ සසඳන විට විකුණුම්කරුගේ විසඳුම සහ එහි ගෘහ නිර්මාණ ශිල්පය කෙතරම් පරිමාණය කළ හැකිද?
- මූලික ආකෘති, පැතිකඩ සහ ප්රධාන කණ්ඩායම් ගොඩනැගීමට කාලය. නිෂ්පාදකයින්ට "සාමාන්ය" සංකල්ප නිර්වචනය කිරීමට පෙර විශ්ලේෂණය කිරීමට අවම වශයෙන් දින 30 ක් (සහ සමහර විට දින 90 ක් දක්වා) අවශ්ය වේ. එක් වරක් ඓතිහාසික දත්ත පූරණය කිරීමෙන් ආකෘති පුහුණුව වේගවත් කළ හැක. සමහර රසවත් අවස්ථා, ඇදහිය නොහැකි තරම් කුඩා ආරම්භක දත්ත ප්රමාණයක් සමඟ යන්ත්ර ඉගෙනීම භාවිතා කරනවාට වඩා නීති භාවිතයෙන් වේගයෙන් හඳුනා ගත හැක.
- ගතික සමූහකරණය සහ ගිණුම් පැතිකඩ (සේවා/පුද්ගලයා) ගොඩනැගීමට අවශ්ය උත්සාහයේ මට්ටම විසඳුම් අතර බෙහෙවින් වෙනස් විය හැක.
මූලාශ්රය: www.habr.com