ఈ రోజు మేము తాజా వాటి ఆధారంగా యూజర్ మరియు ఎంటిటీ బిహేవియరల్ అనలిటిక్స్ (UEBA) మార్కెట్ యొక్క సంక్షిప్త అవలోకనాన్ని అందిస్తాము గార్ట్నర్ పరిశోధన. సాంకేతిక పరిపక్వతను సూచిస్తూ గార్ట్‌నర్ హైప్ సైకిల్ ఫర్ థ్రెట్-ఫేసింగ్ టెక్నాలజీస్ ప్రకారం UEBA మార్కెట్ "నిరాశ దశ" దిగువన ఉంది. కానీ పరిస్థితి యొక్క వైరుధ్యం UEBA సాంకేతికతలలో పెట్టుబడుల యొక్క ఏకకాల సాధారణ పెరుగుదల మరియు స్వతంత్ర UEBA పరిష్కారాల మార్కెట్ అదృశ్యం. సంబంధిత సమాచార భద్రతా పరిష్కారాల కార్యాచరణలో UEBA భాగం అవుతుందని గార్ట్‌నర్ అంచనా వేశారు. "UEBA" అనే పదం వాడుకలో లేకుండా పోతుంది మరియు దాని స్థానంలో సన్నగా ఉండే అప్లికేషన్ ప్రాంతం (ఉదా., "యూజర్ బిహేవియర్ అనలిటిక్స్"), సారూప్య అప్లికేషన్ ఏరియా (ఉదా., "డేటా అనలిటిక్స్")పై దృష్టి కేంద్రీకరించబడిన మరొక సంక్షిప్త పదం ద్వారా భర్తీ చేయబడుతుంది. కొత్త బజ్‌వర్డ్ (ఉదాహరణకు, "కృత్రిమ మేధస్సు" [AI] అనే పదం ఆసక్తికరంగా కనిపిస్తోంది, అయినప్పటికీ ఇది ఆధునిక UEBA తయారీదారులకు అర్థం కాదు).

గార్ట్‌నర్ అధ్యయనం నుండి కీలక ఫలితాలను ఈ క్రింది విధంగా సంగ్రహించవచ్చు:

• వినియోగదారులు మరియు ఎంటిటీల యొక్క ప్రవర్తనా విశ్లేషణల కోసం మార్కెట్ యొక్క పరిపక్వత అనేక వ్యాపార సమస్యలను పరిష్కరించడానికి ఈ సాంకేతికతలు మధ్యస్థ మరియు పెద్ద కార్పోరేట్ విభాగంచే ఉపయోగించబడుతున్న వాస్తవం ద్వారా నిర్ధారించబడింది;
• UEBA అనలిటిక్స్ సామర్థ్యాలు క్లౌడ్ యాక్సెస్ సురక్షిత బ్రోకర్లు (CASBలు), గుర్తింపు నిర్వహణ మరియు పరిపాలన (IGA) SIEM సిస్టమ్‌ల వంటి విస్తృత శ్రేణి సంబంధిత సమాచార భద్రతా సాంకేతికతల్లో నిర్మించబడ్డాయి;
• UEBA విక్రేతల గురించి ప్రచారం మరియు "కృత్రిమ మేధస్సు" అనే పదాన్ని తప్పుగా ఉపయోగించడం వలన వినియోగదారులు పైలట్ ప్రాజెక్ట్‌ను నిర్వహించకుండా తయారీదారుల సాంకేతికతలు మరియు పరిష్కారాల కార్యాచరణ మధ్య నిజమైన వ్యత్యాసాన్ని అర్థం చేసుకోవడం కష్టతరం చేస్తుంది;
• ప్రాథమిక ముప్పు గుర్తింపు నమూనాలను మాత్రమే పరిగణనలోకి తీసుకున్నప్పటికీ, తయారీదారు వాగ్దానం చేసిన దానికంటే అమలు సమయం మరియు UEBA పరిష్కారాల యొక్క రోజువారీ ఉపయోగం మరింత శ్రమతో కూడుకున్నది మరియు ఎక్కువ సమయం తీసుకుంటుందని వినియోగదారులు గమనించారు. అనుకూల లేదా అంచు వినియోగ కేసులను జోడించడం చాలా కష్టం మరియు డేటా సైన్స్ మరియు అనలిటిక్స్‌లో నైపుణ్యం అవసరం.

వ్యూహాత్మక మార్కెట్ అభివృద్ధి అంచనా:

• 2021 నాటికి, యూజర్ మరియు ఎంటిటీ బిహేవియరల్ అనలిటిక్స్ (UEBA) సిస్టమ్‌ల మార్కెట్ ఒక ప్రత్యేక ప్రాంతంగా నిలిచిపోతుంది మరియు UEBA కార్యాచరణతో ఇతర పరిష్కారాల వైపు మళ్లుతుంది;
• 2020 నాటికి, మొత్తం UEBA విస్తరణలలో 95% విస్తృత భద్రతా ప్లాట్‌ఫారమ్‌లో భాగంగా ఉంటాయి.

UEBA పరిష్కారాల నిర్వచనం

UEBA సొల్యూషన్‌లు వినియోగదారులు మరియు ఇతర ఎంటిటీల (హోస్ట్‌లు, అప్లికేషన్‌లు, నెట్‌వర్క్ ట్రాఫిక్ మరియు డేటా స్టోర్‌లు వంటివి) కార్యాచరణను అంచనా వేయడానికి అంతర్నిర్మిత విశ్లేషణలను ఉపయోగిస్తాయి.
వారు బెదిరింపులు మరియు సంభావ్య సంఘటనలను గుర్తిస్తారు, సాధారణంగా ప్రామాణిక ప్రొఫైల్ మరియు నిర్దిష్ట సమయ వ్యవధిలో సారూప్య సమూహాలలో ఉన్న వినియోగదారులు మరియు ఎంటిటీల ప్రవర్తనతో పోల్చినప్పుడు క్రమరహిత కార్యాచరణను సూచిస్తారు.

ఎంటర్‌ప్రైజ్ విభాగంలో అత్యంత సాధారణ వినియోగ సందర్భాలు ముప్పు గుర్తింపు మరియు ప్రతిస్పందన, అలాగే అంతర్గత బెదిరింపులను గుర్తించడం మరియు ప్రతిస్పందన (ఎక్కువగా రాజీపడే అంతర్గత వ్యక్తులు; కొన్నిసార్లు అంతర్గత దాడి చేసేవారు).

UEBA లాంటిది నిర్ణయం, మరియు ఫంక్షన్, ఒక నిర్దిష్ట సాధనంలో నిర్మించబడింది:

• పరిష్కారం "స్వచ్ఛమైన" UEBA ప్లాట్‌ఫారమ్‌ల తయారీదారులు, SIEM సొల్యూషన్‌లను విడిగా విక్రయించే విక్రేతలతో సహా. వినియోగదారులు మరియు ఎంటిటీల ప్రవర్తనా విశ్లేషణలలో విస్తృతమైన వ్యాపార సమస్యలపై దృష్టి సారించింది.
• ఎంబెడెడ్ - UEBA ఫంక్షన్‌లు మరియు సాంకేతికతలను వాటి పరిష్కారాలలోకి చేర్చే తయారీదారులు/విభాగాలు. సాధారణంగా మరింత నిర్దిష్టమైన వ్యాపార సమస్యలపై దృష్టి సారిస్తుంది. ఈ సందర్భంలో, వినియోగదారులు మరియు/లేదా ఎంటిటీల ప్రవర్తనను విశ్లేషించడానికి UEBA ఉపయోగించబడుతుంది.

గార్ట్‌నర్ UEBAని మూడు అక్షాలతో వీక్షించారు, ఇందులో సమస్య పరిష్కారాలు, విశ్లేషణలు మరియు డేటా మూలాలు ఉన్నాయి (ఫిగర్ చూడండి).

"ప్యూర్" UEBA ప్లాట్‌ఫారమ్‌లు మరియు అంతర్నిర్మిత UEBA

గార్ట్‌నర్ "స్వచ్ఛమైన" UEBA ప్లాట్‌ఫారమ్‌ను పరిష్కారాలుగా పరిగణించారు:

• ప్రత్యేకించబడిన వినియోగదారులను పర్యవేక్షించడం లేదా సంస్థ వెలుపల డేటాను అవుట్‌పుట్ చేయడం వంటి అనేక నిర్దిష్ట సమస్యలను పరిష్కరించడం, మరియు కేవలం వియుక్త "క్రమరహిత వినియోగదారు కార్యాచరణను పర్యవేక్షించడం" మాత్రమే కాదు;
• ప్రాథమిక విశ్లేషణాత్మక విధానాల ఆధారంగా తప్పనిసరిగా సంక్లిష్ట విశ్లేషణలను ఉపయోగించడం;
• అంతర్నిర్మిత డేటా సోర్స్ మెకానిజమ్‌లు మరియు లాగ్ మేనేజ్‌మెంట్ టూల్స్, డేటా లేక్ మరియు/లేదా SIEM సిస్టమ్‌లు రెండింటితో సహా డేటా సేకరణ కోసం అనేక ఎంపికలను అందించడం, ఇన్‌ఫ్రాస్ట్రక్చర్‌లో ప్రత్యేక ఏజెంట్‌లను నియమించాల్సిన అవసరం లేకుండా;
• లో చేర్చకుండా స్వతంత్ర పరిష్కారాలుగా కొనుగోలు చేయవచ్చు మరియు అమలు చేయవచ్చు
  ఇతర ఉత్పత్తుల కూర్పు.

దిగువ పట్టిక రెండు విధానాలను పోల్చింది.

టేబుల్ 1. "ప్యూర్" UEBA సొల్యూషన్స్ vs అంతర్నిర్మిత వాటికి

వర్గం	"ప్యూర్" UEBA ప్లాట్‌ఫారమ్‌లు	అంతర్నిర్మిత UEBAతో ఇతర పరిష్కారాలు
పరిష్కరించాల్సిన సమస్య	వినియోగదారు ప్రవర్తన మరియు ఎంటిటీల విశ్లేషణ.	డేటా లేకపోవడం కేవలం వినియోగదారులు లేదా ఎంటిటీల ప్రవర్తనను విశ్లేషించడానికి UEBAని పరిమితం చేయవచ్చు.
పరిష్కరించాల్సిన సమస్య	అనేక రకాల సమస్యలను పరిష్కరించడానికి ఉపయోగపడుతుంది	పరిమితమైన పనులలో ప్రత్యేకత కలిగి ఉంటుంది
విశ్లేషణలు	వివిధ విశ్లేషణాత్మక పద్ధతులను ఉపయోగించి క్రమరాహిత్యాన్ని గుర్తించడం - ప్రధానంగా గణాంక నమూనాలు మరియు యంత్ర అభ్యాసం, నియమాలు మరియు సంతకాలతో పాటు. వినియోగదారు మరియు ఎంటిటీ కార్యకలాపాన్ని వారి మరియు సహోద్యోగుల ప్రొఫైల్‌లకు సృష్టించడానికి మరియు సరిపోల్చడానికి అంతర్నిర్మిత విశ్లేషణలతో వస్తుంది.	స్వచ్ఛమైన UEBA వలె ఉంటుంది, కానీ విశ్లేషణ వినియోగదారులు మరియు/లేదా ఎంటిటీలకు మాత్రమే పరిమితం చేయబడుతుంది.
విశ్లేషణలు	అధునాతన విశ్లేషణాత్మక సామర్థ్యాలు, నియమాల ద్వారా మాత్రమే పరిమితం కావు. ఉదాహరణకు, ఎంటిటీల డైనమిక్ గ్రూపింగ్‌తో కూడిన క్లస్టరింగ్ అల్గోరిథం.	"స్వచ్ఛమైన" UEBA లాగానే, కానీ కొన్ని ఎంబెడెడ్ థ్రెట్ మోడల్‌లలో ఎంటిటీ గ్రూపింగ్ మాన్యువల్‌గా మాత్రమే మార్చబడుతుంది.
విశ్లేషణలు	వినియోగదారులు మరియు ఇతర సంస్థల యొక్క కార్యాచరణ మరియు ప్రవర్తన యొక్క పరస్పర సంబంధం (ఉదాహరణకు, బయేసియన్ నెట్‌వర్క్‌లను ఉపయోగించడం) మరియు క్రమరహిత కార్యాచరణను గుర్తించడానికి వ్యక్తిగత ప్రమాద ప్రవర్తన యొక్క సమగ్రత.	స్వచ్ఛమైన UEBA వలె ఉంటుంది, కానీ విశ్లేషణ వినియోగదారులు మరియు/లేదా ఎంటిటీలకు మాత్రమే పరిమితం చేయబడుతుంది.
డేటా మూలాలు	అంతర్నిర్మిత మెకానిజమ్‌లు లేదా SIEM లేదా డేటా లేక్ వంటి ఇప్పటికే ఉన్న డేటా స్టోర్‌ల ద్వారా నేరుగా డేటా మూలాల నుండి వినియోగదారులు మరియు ఎంటిటీలపై ఈవెంట్‌లను స్వీకరించడం.	డేటాను పొందే మెకానిజమ్‌లు సాధారణంగా ప్రత్యక్షంగా మాత్రమే ఉంటాయి మరియు వినియోగదారులు మరియు/లేదా ఇతర ఎంటిటీలను మాత్రమే ప్రభావితం చేస్తాయి. లాగ్ మేనేజ్‌మెంట్ టూల్స్ / SIEM / డేటా లేక్‌ని ఉపయోగించవద్దు.
డేటా మూలాలు	పరిష్కారం డేటా యొక్క ప్రధాన వనరుగా నెట్‌వర్క్ ట్రాఫిక్‌పై మాత్రమే ఆధారపడకూడదు లేదా టెలిమెట్రీని సేకరించడానికి దాని స్వంత ఏజెంట్లపై మాత్రమే ఆధారపడకూడదు.	పరిష్కారం నెట్‌వర్క్ ట్రాఫిక్‌పై మాత్రమే దృష్టి పెట్టగలదు (ఉదాహరణకు, NTA - నెట్‌వర్క్ ట్రాఫిక్ విశ్లేషణ) మరియు/లేదా తుది పరికరాలలో దాని ఏజెంట్లను ఉపయోగించవచ్చు (ఉదాహరణకు, ఉద్యోగుల పర్యవేక్షణ వినియోగాలు).
డేటా మూలాలు	సందర్భంతో వినియోగదారు/ఎంటిటీ డేటాను సంతృప్తపరచడం. రియల్ టైమ్‌లో నిర్మాణాత్మక ఈవెంట్‌ల సేకరణకు, అలాగే IT డైరెక్టరీల నుండి నిర్మాణాత్మక/అనిర్మిత సమన్వయ డేటాకు మద్దతు ఇస్తుంది - ఉదాహరణకు, యాక్టివ్ డైరెక్టరీ (AD), లేదా ఇతర మెషీన్-రీడబుల్ సమాచార వనరులు (ఉదాహరణకు, HR డేటాబేస్‌లు).	స్వచ్ఛమైన UEBA మాదిరిగానే ఉంటుంది, అయితే సందర్భోచిత డేటా యొక్క పరిధి ఒక్కో కేసుకు భిన్నంగా ఉండవచ్చు. AD మరియు LDAP అనేవి ఎంబెడెడ్ UEBA సొల్యూషన్స్ ద్వారా ఉపయోగించే అత్యంత సాధారణ సందర్భోచిత డేటా స్టోర్‌లు.
లభ్యత	జాబితా చేయబడిన లక్షణాలను స్వతంత్ర ఉత్పత్తిగా అందిస్తుంది.	ఇది నిర్మించబడిన బాహ్య పరిష్కారాన్ని కొనుగోలు చేయకుండా అంతర్నిర్మిత UEBA కార్యాచరణను కొనుగోలు చేయడం అసాధ్యం.
మూలం: గార్ట్‌నర్ (మే 2019)

అందువల్ల, కొన్ని సమస్యలను పరిష్కరించడానికి, పొందుపరిచిన UEBA ప్రాథమిక UEBA విశ్లేషణలను ఉపయోగించవచ్చు (ఉదాహరణకు, సాధారణ పర్యవేక్షించబడని యంత్ర అభ్యాసం), కానీ అదే సమయంలో, ఖచ్చితంగా అవసరమైన డేటాకు ప్రాప్యత కారణంగా, ఇది “స్వచ్ఛమైన” కంటే మొత్తంగా మరింత ప్రభావవంతంగా ఉంటుంది. UEBA పరిష్కారం. అదే సమయంలో, "స్వచ్ఛమైన" UEBA ప్లాట్‌ఫారమ్‌లు, ఊహించిన విధంగా, అంతర్నిర్మిత UEBA సాధనంతో పోలిస్తే మరింత సంక్లిష్టమైన విశ్లేషణలను ప్రధాన పరిజ్ఞానంగా అందిస్తాయి. ఈ ఫలితాలు టేబుల్ 2లో సంగ్రహించబడ్డాయి.

టేబుల్ 2. "స్వచ్ఛమైన" మరియు అంతర్నిర్మిత UEBA మధ్య వ్యత్యాసాల ఫలితం

వర్గం	"ప్యూర్" UEBA ప్లాట్‌ఫారమ్‌లు	అంతర్నిర్మిత UEBAతో ఇతర పరిష్కారాలు
విశ్లేషణలు	విభిన్న వ్యాపార సమస్యలను పరిష్కరించడానికి వర్తింపు అనేది మరింత సంక్లిష్టమైన విశ్లేషణలు మరియు మెషిన్ లెర్నింగ్ మోడల్‌లకు ప్రాధాన్యతనిస్తూ UEBA ఫంక్షన్‌ల యొక్క సార్వత్రిక సెట్‌ను సూచిస్తుంది.	వ్యాపార సమస్యల యొక్క చిన్న సెట్‌పై దృష్టి కేంద్రీకరించడం అంటే సరళమైన లాజిక్‌తో అప్లికేషన్-నిర్దిష్ట మోడల్‌లపై దృష్టి సారించే అత్యంత ప్రత్యేకమైన ఫీచర్‌లు.
విశ్లేషణలు	ప్రతి అప్లికేషన్ దృష్టాంతానికి విశ్లేషణాత్మక నమూనా యొక్క అనుకూలీకరణ అవసరం.	UEBAని కలిగి ఉన్న సాధనం కోసం విశ్లేషణాత్మక నమూనాలు ముందే కాన్ఫిగర్ చేయబడ్డాయి. అంతర్నిర్మిత UEBAతో కూడిన సాధనం సాధారణంగా కొన్ని వ్యాపార సమస్యలను పరిష్కరించడంలో వేగవంతమైన ఫలితాలను సాధిస్తుంది.
డేటా మూలాలు	కార్పొరేట్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లోని అన్ని మూలల నుండి డేటా సోర్స్‌లకు యాక్సెస్.	తక్కువ డేటా మూలాధారాలు, సాధారణంగా వాటి కోసం ఏజెంట్ల లభ్యత లేదా UEBA ఫంక్షన్‌లతో కూడిన సాధనం ద్వారా పరిమితం చేయబడతాయి.
డేటా మూలాలు	ప్రతి లాగ్‌లో ఉన్న సమాచారం డేటా మూలం ద్వారా పరిమితం చేయబడవచ్చు మరియు కేంద్రీకృత UEBA సాధనం కోసం అవసరమైన మొత్తం డేటాను కలిగి ఉండకపోవచ్చు.	ఏజెంట్ ద్వారా సేకరించబడిన మరియు UEBAకి ప్రసారం చేయబడిన ముడి డేటా మొత్తం మరియు వివరాలు ప్రత్యేకంగా కాన్ఫిగర్ చేయబడతాయి.
నిర్మాణం	ఇది ఒక సంస్థ కోసం పూర్తి UEBA ఉత్పత్తి. SIEM సిస్టమ్ లేదా డేటా లేక్ సామర్థ్యాలను ఉపయోగించి ఇంటిగ్రేషన్ సులభం.	అంతర్నిర్మిత UEBA ఉన్న ప్రతి పరిష్కారాల కోసం ప్రత్యేక UEBA లక్షణాల సెట్ అవసరం. పొందుపరిచిన UEBA పరిష్కారాలకు తరచుగా ఏజెంట్లను ఇన్‌స్టాల్ చేయడం మరియు డేటాను నిర్వహించడం అవసరం.
అనుసంధానం	ప్రతి సందర్భంలో ఇతర సాధనాలతో UEBA పరిష్కారం యొక్క మాన్యువల్ ఇంటిగ్రేషన్. "అనలాగ్‌లలో ఉత్తమమైనది" విధానం ఆధారంగా దాని సాంకేతిక స్టాక్‌ను రూపొందించడానికి సంస్థను అనుమతిస్తుంది.	UEBA ఫంక్షన్‌ల యొక్క ప్రధాన బండిల్‌లు ఇప్పటికే తయారీదారుచే సాధనంలో చేర్చబడ్డాయి. UEBA మాడ్యూల్ అంతర్నిర్మితంగా ఉంది మరియు తీసివేయబడదు, కాబట్టి కస్టమర్‌లు దానిని వారి స్వంత వాటితో భర్తీ చేయలేరు.
మూలం: గార్ట్‌నర్ (మే 2019)

ఒక ఫంక్షన్‌గా UEBA

అదనపు విశ్లేషణల నుండి ప్రయోజనం పొందగల ఎండ్-టు-ఎండ్ సైబర్ సెక్యూరిటీ సొల్యూషన్‌ల లక్షణంగా UEBA మారుతోంది. UEBA ఈ పరిష్కారాలను సూచిస్తుంది, వినియోగదారు మరియు/లేదా ఎంటిటీ ప్రవర్తన నమూనాల ఆధారంగా అధునాతన విశ్లేషణల యొక్క శక్తివంతమైన పొరను అందిస్తుంది.

ప్రస్తుతం మార్కెట్‌లో, అంతర్నిర్మిత UEBA కార్యాచరణ క్రింది పరిష్కారాలలో అమలు చేయబడుతుంది, సాంకేతిక పరిధిని బట్టి సమూహం చేయబడింది:

• డేటా-కేంద్రీకృత ఆడిట్ మరియు రక్షణ, నిర్మాణాత్మక మరియు నిర్మాణాత్మక డేటా నిల్వ (అకా DCAP) భద్రతను మెరుగుపరచడంపై దృష్టి సారించిన విక్రేతలు.

  ఈ కేటగిరీ వెండర్లలో, గార్ట్‌నర్ నోట్స్, ఇతర విషయాలతోపాటు, వరోనిస్ సైబర్ సెక్యూరిటీ ప్లాట్‌ఫారమ్, ఇది వివిధ సమాచార దుకాణాలలో నిర్మాణాత్మక డేటా అనుమతులు, యాక్సెస్ మరియు వినియోగంలో మార్పులను పర్యవేక్షించడానికి వినియోగదారు ప్రవర్తన విశ్లేషణలను అందిస్తుంది.

• CASB వ్యవస్థలు, అడాప్టివ్ యాక్సెస్ కంట్రోల్ సిస్టమ్‌ని ఉపయోగించి అవాంఛిత పరికరాలు, వినియోగదారులు మరియు అప్లికేషన్ వెర్షన్‌ల కోసం క్లౌడ్ సేవలకు యాక్సెస్‌ను బ్లాక్ చేయడం ద్వారా క్లౌడ్ ఆధారిత SaaS అప్లికేషన్‌లలోని వివిధ బెదిరింపుల నుండి రక్షణను అందిస్తుంది.

  అన్ని మార్కెట్-లీడింగ్ CASB సొల్యూషన్స్‌లో UEBA సామర్థ్యాలు ఉంటాయి.

• DLP పరిష్కారాలు - సంస్థ వెలుపల క్లిష్టమైన డేటా బదిలీని లేదా దాని దుర్వినియోగాన్ని గుర్తించడంపై దృష్టి సారించింది.

  DLP అడ్వాన్స్‌లు ఎక్కువగా కంటెంట్‌ను అర్థం చేసుకోవడంపై ఆధారపడి ఉంటాయి, వినియోగదారు, అప్లికేషన్, స్థానం, సమయం, ఈవెంట్‌ల వేగం మరియు ఇతర బాహ్య కారకాలు వంటి సందర్భాన్ని అర్థం చేసుకోవడంపై తక్కువ దృష్టి ఉంటుంది. ప్రభావవంతంగా ఉండటానికి, DLP ఉత్పత్తులు తప్పనిసరిగా కంటెంట్ మరియు సందర్భం రెండింటినీ గుర్తించాలి. అందుకే చాలా మంది తయారీదారులు తమ పరిష్కారాలలో UEBA కార్యాచరణను ఏకీకృతం చేయడం ప్రారంభించారు.

• ఉద్యోగుల పర్యవేక్షణ ఉద్యోగి చర్యలను రికార్డ్ చేయడం మరియు రీప్లే చేయగల సామర్థ్యం, ​​సాధారణంగా చట్టపరమైన చర్యలకు (అవసరమైతే) తగిన డేటా ఫార్మాట్‌లో ఉంటుంది.

  వినియోగదారులను నిరంతరం పర్యవేక్షిస్తూ మాన్యువల్ ఫిల్టరింగ్ మరియు మానవ విశ్లేషణ అవసరమయ్యే అధిక మొత్తంలో డేటాను ఉత్పత్తి చేస్తుంది. అందువల్ల, UEBA ఈ పరిష్కారాల పనితీరును మెరుగుపరచడానికి మరియు అధిక-ప్రమాదకరమైన సంఘటనలను మాత్రమే గుర్తించడానికి పర్యవేక్షణ వ్యవస్థల లోపల ఉపయోగించబడుతుంది.

• ఎండ్‌పాయింట్ సెక్యూరిటీ – ఎండ్‌పాయింట్ డిటెక్షన్ అండ్ రెస్పాన్స్ (EDR) సొల్యూషన్స్ మరియు ఎండ్‌పాయింట్ ప్రొటెక్షన్ ప్లాట్‌ఫారమ్‌లు (EPP) శక్తివంతమైన ఇన్‌స్ట్రుమెంటేషన్ మరియు ఆపరేటింగ్ సిస్టమ్ టెలిమెట్రీని అందిస్తాయి
  ముగింపు పరికరాలు.

  అంతర్నిర్మిత UEBA కార్యాచరణను అందించడానికి ఇటువంటి వినియోగదారు-సంబంధిత టెలిమెట్రీని విశ్లేషించవచ్చు.

• ఆన్‌లైన్ మోసం – ఆన్‌లైన్ మోసాన్ని గుర్తించే పరిష్కారాలు మోసపూరితమైన, మాల్వేర్ లేదా అసురక్షిత కనెక్షన్‌లు/బ్రౌజర్ ట్రాఫిక్ అంతరాయాన్ని ఉపయోగించడం ద్వారా కస్టమర్ ఖాతా రాజీని సూచించే వికృత కార్యాచరణను గుర్తిస్తాయి.

  చాలా మోసపూరిత పరిష్కారాలు UEBA, లావాదేవీల విశ్లేషణ మరియు పరికర కొలత యొక్క సారాంశాన్ని ఉపయోగిస్తాయి, గుర్తింపు డేటాబేస్‌లోని సంబంధాలను సరిపోల్చడం ద్వారా మరింత అధునాతన సిస్టమ్‌లు వాటిని పూర్తి చేస్తాయి.

• IAM మరియు యాక్సెస్ నియంత్రణ – గార్ట్‌నర్ యాక్సెస్ కంట్రోల్ సిస్టమ్ వెండర్‌లలో స్వచ్ఛమైన విక్రేతలతో కలిసిపోవడానికి మరియు వారి ఉత్పత్తులలో కొంత UEBA కార్యాచరణను రూపొందించడానికి ఒక పరిణామ ధోరణిని పేర్కొన్నాడు.
• IAM మరియు ఐడెంటిటీ గవర్నెన్స్ అండ్ అడ్మినిస్ట్రేషన్ (IGA) వ్యవస్థలు అసాధారణతను గుర్తించడం, సారూప్య సంస్థల యొక్క డైనమిక్ గ్రూపింగ్ విశ్లేషణ, లాగిన్ విశ్లేషణ మరియు యాక్సెస్ పాలసీ విశ్లేషణ వంటి ప్రవర్తనా మరియు గుర్తింపు విశ్లేషణల దృశ్యాలను కవర్ చేయడానికి UEBAని ఉపయోగించండి.
• IAM మరియు ప్రివిలేజ్డ్ యాక్సెస్ మేనేజ్‌మెంట్ (PAM) - అడ్మినిస్ట్రేటివ్ ఖాతాల వినియోగాన్ని పర్యవేక్షించే పాత్ర కారణంగా, అడ్మినిస్ట్రేటివ్ ఖాతాలను ఎలా, ఎందుకు, ఎప్పుడు మరియు ఎక్కడ ఉపయోగించారో చూపించడానికి PAM సొల్యూషన్‌లు టెలిమెట్రీని కలిగి ఉంటాయి. నిర్వాహకుల క్రమరహిత ప్రవర్తన లేదా హానికరమైన ఉద్దేశం కోసం UEBA యొక్క అంతర్నిర్మిత కార్యాచరణను ఉపయోగించి ఈ డేటాను విశ్లేషించవచ్చు.
• తయారీదారులు NTA (నెట్‌వర్క్ ట్రాఫిక్ విశ్లేషణ) - కార్పొరేట్ నెట్‌వర్క్‌లలో అనుమానాస్పద కార్యాచరణను గుర్తించడానికి మెషిన్ లెర్నింగ్, అధునాతన విశ్లేషణలు మరియు నియమ-ఆధారిత గుర్తింపు కలయికను ఉపయోగించండి.

  NTA సాధనాలు నిరంతరంగా సోర్స్ ట్రాఫిక్ మరియు/లేదా ఫ్లో రికార్డులను విశ్లేషిస్తాయి (ఉదా. NetFlow) సాధారణ నెట్‌వర్క్ ప్రవర్తనను ప్రతిబింబించే నమూనాలను రూపొందించడానికి, ప్రధానంగా ఎంటిటీ ప్రవర్తన విశ్లేషణలపై దృష్టి సారిస్తుంది.

• రీప్లో - చాలా మంది SIEM విక్రేతలు ఇప్పుడు SIEMలో లేదా ప్రత్యేక UEBA మాడ్యూల్‌గా రూపొందించబడిన అధునాతన డేటా అనలిటిక్స్ కార్యాచరణను కలిగి ఉన్నారు. 2018 అంతటా మరియు ఇప్పటివరకు 2019లో, వ్యాసంలో చర్చించినట్లుగా, SIEM మరియు UEBA కార్యాచరణల మధ్య సరిహద్దులు నిరంతరం అస్పష్టంగా ఉన్నాయి. "ఆధునిక SIEM కోసం సాంకేతిక అంతర్దృష్టి". SIEM సిస్టమ్‌లు విశ్లేషణలతో పని చేయడంలో మెరుగ్గా మారాయి మరియు మరింత సంక్లిష్టమైన అప్లికేషన్ దృశ్యాలను అందించాయి.

UEBA అప్లికేషన్ దృశ్యాలు

UEBA పరిష్కారాలు అనేక రకాల సమస్యలను పరిష్కరించగలవు. అయితే, గార్ట్‌నర్ క్లయింట్‌లు వినియోగదారు ప్రవర్తన మరియు ఇతర ఎంటిటీల మధ్య తరచుగా ఉండే సహసంబంధాలను ప్రదర్శించడం మరియు విశ్లేషించడం ద్వారా సాధించబడిన వివిధ రకాల బెదిరింపులను గుర్తించడాన్ని ప్రాథమిక వినియోగ సందర్భంలో కలిగి ఉంటుందని అంగీకరిస్తున్నారు:

• డేటా యొక్క అనధికారిక యాక్సెస్ మరియు కదలిక;
• విశేష వినియోగదారుల అనుమానాస్పద ప్రవర్తన, ఉద్యోగుల హానికరమైన లేదా అనధికారిక కార్యకలాపాలు;
• ప్రామాణికం కాని యాక్సెస్ మరియు క్లౌడ్ వనరుల ఉపయోగం;
• మరియు ఇతరులు.

మోసం లేదా ఉద్యోగి పర్యవేక్షణ వంటి అనేక విలక్షణమైన నాన్-సైబర్ సెక్యూరిటీ వినియోగ కేసులు కూడా ఉన్నాయి, వీటి కోసం UEBA సమర్థించబడవచ్చు. అయినప్పటికీ, వారికి తరచుగా IT మరియు సమాచార భద్రతకు వెలుపల ఉన్న డేటా మూలాధారాలు లేదా ఈ ప్రాంతంపై లోతైన అవగాహన ఉన్న నిర్దిష్ట విశ్లేషణాత్మక నమూనాలు అవసరమవుతాయి. UEBA తయారీదారులు మరియు వారి కస్టమర్‌లు ఇద్దరూ అంగీకరించే ఐదు ప్రధాన దృశ్యాలు మరియు అప్లికేషన్‌లు క్రింద వివరించబడ్డాయి.

"హానికరమైన ఇన్సైడర్"

ఈ దృష్టాంతాన్ని కవర్ చేసే UEBA సొల్యూషన్ ప్రొవైడర్‌లు అసాధారణమైన, “చెడు” లేదా హానికరమైన ప్రవర్తన కోసం ఉద్యోగులు మరియు విశ్వసనీయ కాంట్రాక్టర్‌లను మాత్రమే పర్యవేక్షిస్తారు. ఈ నైపుణ్యం ఉన్న ప్రాంతంలోని విక్రేతలు సేవా ఖాతాలు లేదా ఇతర మానవేతర సంస్థల ప్రవర్తనను పర్యవేక్షించరు లేదా విశ్లేషించరు. దీని కారణంగా, హ్యాకర్లు ఇప్పటికే ఉన్న ఖాతాలను స్వాధీనం చేసుకునే అధునాతన బెదిరింపులను గుర్తించడంపై వారు దృష్టి సారించడం లేదు. బదులుగా, వారు హానికరమైన కార్యకలాపాలలో పాల్గొన్న ఉద్యోగులను గుర్తించడం లక్ష్యంగా పెట్టుకున్నారు.

ముఖ్యంగా, తమ యజమానికి నష్టం కలిగించే మార్గాలను అన్వేషించే హానికరమైన ఉద్దేశ్యంతో విశ్వసనీయ వినియోగదారుల నుండి "హానికరమైన అంతర్గత" భావన ఏర్పడింది. హానికరమైన ఉద్దేశాన్ని కొలవడం కష్టం కాబట్టి, ఈ వర్గంలోని ఉత్తమ విక్రేతలు ఆడిట్ లాగ్‌లలో సులభంగా అందుబాటులో లేని సందర్భోచిత ప్రవర్తన డేటాను విశ్లేషిస్తారు.

ఈ స్పేస్‌లోని సొల్యూషన్ ప్రొవైడర్‌లు ప్రవర్తనకు సందర్భాన్ని అందించడానికి ఇమెయిల్ కంటెంట్, ఉత్పాదకత నివేదికలు లేదా సోషల్ మీడియా సమాచారం వంటి నిర్మాణాత్మక డేటాను ఉత్తమంగా జోడించి, విశ్లేషిస్తారు.

అంతర్గత మరియు చొరబాటు బెదిరింపులు రాజీ

దాడి చేసే వ్యక్తి సంస్థకు యాక్సెస్‌ను పొంది, IT ఇన్‌ఫ్రాస్ట్రక్చర్‌లోకి వెళ్లడం ప్రారంభించిన తర్వాత "చెడు" ప్రవర్తనను త్వరగా గుర్తించడం మరియు విశ్లేషించడం సవాలు.
తెలియని లేదా ఇంకా పూర్తిగా అర్థం చేసుకోని బెదిరింపుల వంటి నిశ్చయాత్మక బెదిరింపులు (APTలు) గుర్తించడం మరియు తరచుగా చట్టబద్ధమైన వినియోగదారు కార్యాచరణ లేదా సేవా ఖాతాల వెనుక దాచడం చాలా కష్టం. ఇటువంటి బెదిరింపులు సాధారణంగా సంక్లిష్టమైన ఆపరేటింగ్ మోడల్‌ను కలిగి ఉంటాయి (ఉదాహరణకు, వ్యాసం చూడండి " సైబర్ కిల్ చైన్‌ను ఉద్దేశించి") లేదా వారి ప్రవర్తన ఇంకా హానికరమైనదిగా అంచనా వేయబడలేదు. ఇది సాధారణ విశ్లేషణలను (ప్యాటర్న్‌లు, థ్రెషోల్డ్‌లు లేదా సహసంబంధ నియమాల ద్వారా సరిపోల్చడం వంటివి) ఉపయోగించి వాటిని గుర్తించడం కష్టతరం చేస్తుంది.

అయినప్పటికీ, ఈ అనుచిత బెదిరింపులు చాలా వరకు ప్రామాణికం కాని ప్రవర్తనకు దారితీస్తాయి, తరచుగా సందేహించని వినియోగదారులు లేదా ఎంటిటీలు (అకా రాజీపడిన ఇన్‌సైడర్‌లు) ఉంటాయి. UEBA పద్ధతులు అటువంటి బెదిరింపులను గుర్తించడానికి, సిగ్నల్-టు-నాయిస్ నిష్పత్తిని మెరుగుపరచడానికి, నోటిఫికేషన్ వాల్యూమ్‌ను ఏకీకృతం చేయడానికి మరియు తగ్గించడానికి, మిగిలిన హెచ్చరికలకు ప్రాధాన్యత ఇవ్వడానికి మరియు సమర్థవంతమైన సంఘటన ప్రతిస్పందన మరియు పరిశోధనను సులభతరం చేయడానికి అనేక ఆసక్తికరమైన అవకాశాలను అందిస్తాయి.

ఈ సమస్య ప్రాంతాన్ని లక్ష్యంగా చేసుకున్న UEBA విక్రేతలు తరచుగా సంస్థ యొక్క SIEM సిస్టమ్‌లతో ద్వి-దిశాత్మక ఏకీకరణను కలిగి ఉంటారు.

డేటా ఎక్స్‌ఫిల్ట్రేషన్

ఈ సందర్భంలో పని సంస్థ వెలుపల డేటా బదిలీ చేయబడుతుందనే వాస్తవాన్ని గుర్తించడం.
విక్రేతలు ఈ సవాలుపై దృష్టి సారించారు, సాధారణంగా క్రమరాహిత్యాల గుర్తింపు మరియు అధునాతన విశ్లేషణలతో DLP లేదా DAG సామర్థ్యాలను ప్రభావితం చేస్తారు, తద్వారా సిగ్నల్-టు-నాయిస్ నిష్పత్తిని మెరుగుపరచడం, నోటిఫికేషన్ వాల్యూమ్‌ను ఏకీకృతం చేయడం మరియు మిగిలిన ట్రిగ్గర్‌లకు ప్రాధాన్యత ఇవ్వడం. అదనపు సందర్భం కోసం, విక్రేతలు సాధారణంగా నెట్‌వర్క్ ట్రాఫిక్ (వెబ్ ప్రాక్సీలు వంటివి) మరియు ఎండ్‌పాయింట్ డేటాపై ఎక్కువగా ఆధారపడతారు, ఎందుకంటే ఈ డేటా మూలాల విశ్లేషణ డేటా ఎక్స్‌ఫిల్ట్రేషన్ పరిశోధనలలో సహాయపడుతుంది.

సంస్థను బెదిరించే అంతర్గత మరియు బాహ్య హ్యాకర్‌లను పట్టుకోవడానికి డేటా ఎక్స్‌ఫిల్ట్రేషన్ డిటెక్షన్ ఉపయోగించబడుతుంది.

ప్రివిలేజ్డ్ యాక్సెస్ యొక్క గుర్తింపు మరియు నిర్వహణ

నైపుణ్యం ఉన్న ఈ ప్రాంతంలో స్వతంత్ర UEBA పరిష్కారాల తయారీదారులు అధిక అధికారాలను లేదా క్రమరహిత ప్రాప్యతను గుర్తించడానికి ఇప్పటికే ఏర్పడిన హక్కుల వ్యవస్థ యొక్క నేపథ్యానికి వ్యతిరేకంగా వినియోగదారు ప్రవర్తనను గమనిస్తారు మరియు విశ్లేషిస్తారు. ప్రత్యేక మరియు సేవా ఖాతాలతో సహా అన్ని రకాల వినియోగదారులు మరియు ఖాతాలకు ఇది వర్తిస్తుంది. సంస్థలు అవసరమైన దానికంటే ఎక్కువగా ఉన్న నిష్క్రియ ఖాతాలు మరియు వినియోగదారు అధికారాలను వదిలించుకోవడానికి కూడా UEBAని ఉపయోగిస్తాయి.

సంఘటన ప్రాధాన్యత

ఏ సంఘటనలు లేదా సంభావ్య సంఘటనలను ముందుగా పరిష్కరించాలో అర్థం చేసుకోవడానికి వారి సాంకేతిక స్టాక్‌లోని పరిష్కారాల ద్వారా రూపొందించబడిన నోటిఫికేషన్‌లకు ప్రాధాన్యత ఇవ్వడం ఈ టాస్క్ యొక్క లక్ష్యం. UEBA మెథడాలజీలు మరియు సాధనాలు నిర్దిష్టంగా క్రమరహితమైన లేదా ఇచ్చిన సంస్థకు ముఖ్యంగా ప్రమాదకరమైన సంఘటనలను గుర్తించడంలో ఉపయోగపడతాయి. ఈ సందర్భంలో, UEBA మెకానిజం ప్రాథమిక స్థాయి కార్యాచరణ మరియు ముప్పు నమూనాలను మాత్రమే ఉపయోగించదు, కానీ సంస్థ యొక్క సంస్థాగత నిర్మాణం (ఉదాహరణకు, క్లిష్టమైన వనరులు లేదా పాత్రలు మరియు ఉద్యోగుల యాక్సెస్ స్థాయిలు) గురించి సమాచారంతో డేటాను సంతృప్తపరుస్తుంది.

UEBA పరిష్కారాలను అమలు చేయడంలో సమస్యలు

UEBA పరిష్కారాల యొక్క మార్కెట్ నొప్పి వాటి అధిక ధర, సంక్లిష్ట అమలు, నిర్వహణ మరియు ఉపయోగం. కంపెనీలు వివిధ అంతర్గత పోర్టల్‌ల సంఖ్యతో పోరాడుతున్నప్పుడు, వారు మరొక కన్సోల్‌ను పొందుతున్నారు. కొత్త సాధనంలో సమయం మరియు వనరుల పెట్టుబడి పరిమాణం చేతిలో ఉన్న పనులు మరియు వాటిని పరిష్కరించడానికి అవసరమైన విశ్లేషణల రకాలపై ఆధారపడి ఉంటుంది మరియు చాలా తరచుగా పెద్ద పెట్టుబడులు అవసరమవుతాయి.

చాలా మంది తయారీదారులు క్లెయిమ్ చేసిన దానికి విరుద్ధంగా, UEBA అనేది "సెట్ చేసి మర్చిపో" సాధనం కాదు, అది రోజుల తరబడి నిరంతరం నడుస్తుంది.
ఉదాహరణకు, గార్ట్‌నర్ క్లయింట్లు, ఈ పరిష్కారం అమలు చేయబడిన సమస్యలను పరిష్కరించడంలో మొదటి ఫలితాలను పొందడానికి మొదటి నుండి UEBA చొరవను ప్రారంభించేందుకు 3 నుండి 6 నెలల సమయం పడుతుందని గమనించండి. సంస్థలో అంతర్గత బెదిరింపులను గుర్తించడం వంటి క్లిష్టమైన పనుల కోసం, వ్యవధి 18 నెలలకు పెరుగుతుంది.

UEBAని అమలు చేయడంలో ఇబ్బందులు మరియు సాధనం యొక్క భవిష్యత్తు ప్రభావాన్ని ప్రభావితం చేసే అంశాలు:

• సంస్థ నిర్మాణం, నెట్‌వర్క్ టోపోలాజీ మరియు డేటా మేనేజ్‌మెంట్ విధానాల సంక్లిష్టత
• వివరాల యొక్క సరైన స్థాయిలో సరైన డేటా లభ్యత
• విక్రేత యొక్క అనలిటిక్స్ అల్గారిథమ్‌ల సంక్లిష్టత-ఉదాహరణకు, సాధారణ నమూనాలు మరియు నియమాలకు వ్యతిరేకంగా గణాంక నమూనాలు మరియు మెషిన్ లెర్నింగ్ ఉపయోగం.
• ముందుగా కాన్ఫిగర్ చేయబడిన విశ్లేషణల మొత్తం చేర్చబడింది-అంటే, ప్రతి పని కోసం ఏ డేటాను సేకరించాలి మరియు విశ్లేషణ చేయడానికి ఏ వేరియబుల్స్ మరియు అట్రిబ్యూట్‌లు చాలా ముఖ్యమైనవి అనే దానిపై తయారీదారు యొక్క అవగాహన.
• తయారీదారు అవసరమైన డేటాతో స్వయంచాలకంగా ఏకీకరణ చేయడం ఎంత సులభం.

  ఉదాహరణకు:

  • UEBA సొల్యూషన్ SIEM సిస్టమ్‌ని దాని డేటాకు ప్రధాన వనరుగా ఉపయోగిస్తే, SIEM అవసరమైన డేటా మూలాధారాల నుండి సమాచారాన్ని సేకరిస్తుంది?
  • అవసరమైన ఈవెంట్ లాగ్‌లు మరియు సంస్థాగత సందర్భ డేటాను UEBA పరిష్కారానికి మళ్లించవచ్చా?
  • SIEM సిస్టమ్ UEBA సొల్యూషన్ ద్వారా అవసరమైన డేటా సోర్స్‌లను ఇంకా సేకరించి నియంత్రించకపోతే, వాటిని అక్కడికి ఎలా బదిలీ చేయవచ్చు?

• సంస్థ కోసం అప్లికేషన్ దృష్టాంతం ఎంత ముఖ్యమైనది, దానికి ఎన్ని డేటా సోర్స్‌లు అవసరం మరియు తయారీదారుల నైపుణ్యం ఉన్న ప్రాంతంతో ఈ పని ఎంత అతివ్యాప్తి చెందుతుంది.
• సంస్థాగత పరిపక్వత మరియు ప్రమేయం ఏ స్థాయిలో అవసరం - ఉదాహరణకు, నియమాలు మరియు నమూనాల సృష్టి, అభివృద్ధి మరియు మెరుగుదల; మూల్యాంకనం కోసం వేరియబుల్స్‌కు బరువులు కేటాయించడం; లేదా రిస్క్ అసెస్‌మెంట్ థ్రెషోల్డ్‌ని సర్దుబాటు చేయడం.
• సంస్థ యొక్క ప్రస్తుత పరిమాణం మరియు దాని భవిష్యత్తు అవసరాలతో పోలిస్తే విక్రేత యొక్క పరిష్కారం మరియు దాని నిర్మాణం ఎంత స్కేలబుల్.
• ప్రాథమిక నమూనాలు, ప్రొఫైల్‌లు మరియు కీలక సమూహాలను రూపొందించడానికి సమయం. తయారీదారులు తరచుగా "సాధారణ" భావనలను నిర్వచించే ముందు విశ్లేషణ నిర్వహించడానికి కనీసం 30 రోజులు (మరియు కొన్నిసార్లు 90 రోజుల వరకు) అవసరం. చారిత్రక డేటాను ఒకసారి లోడ్ చేయడం మోడల్ శిక్షణను వేగవంతం చేస్తుంది. చాలా తక్కువ మొత్తంలో ప్రారంభ డేటాతో మెషిన్ లెర్నింగ్‌ని ఉపయోగించడం కంటే కొన్ని ఆసక్తికరమైన కేసులను నియమాలను ఉపయోగించి వేగంగా గుర్తించవచ్చు.
• డైనమిక్ గ్రూపింగ్ మరియు ఖాతా ప్రొఫైలింగ్ (సేవ/వ్యక్తి) నిర్మించడానికి అవసరమైన ప్రయత్న స్థాయి పరిష్కారాల మధ్య చాలా తేడా ఉంటుంది.

మూలం: www.habr.com