Início Segurança QRadar SIEM Analytics de comportamento do usuário com o IBM QRadar SIEM
Tenha maior visibilidade das ameaças internas, descubra comportamentos anômalos, identifique rapidamente usuários de risco e gere insights significativos
Solicite uma demo
Pessoa escrevendo no quadro branco no escritório
Detecte credenciais comprometidas, movimentação lateral e outros comportamentos maliciosos

O aplicativo IBM Security® QRadar® SIEM User Behavior Analytics (UBA) estabelece uma referência de padrões de comportamento para seus funcionários, para você detectar melhor as ameaças à sua organização. Ele utiliza os dados já existem no QRadar SIEM para gerar novos insights sobre usuários e riscos.

Estabelecendo os perfis de risco para usuários dentro da sua rede, você consegue reagir mais rapidamente às atividades suspeitas, seja de roubo de identidade, hacking, phishing ou malware.

 Saiba mais sobre a UBA
A UBA protege contra phishing e outros

Faça a distinção entre o comportamento normal do usuário e as anomalias para impedir as ameaças

41%

41% das infecções da rede são causadas por phishing¹

 >50%

Mais de 50% dos ataques de phishing usam técnicas de spear phishing2

 100%

Houve um aumento de 100% ao mês nas tentativas de interceptação de ameaças conforme observado pelo software de detecção de ameaças X-Force®3
Veja como funciona

Pelo segundo ano consecutivo, o phishing foi o principal vetor de infecção em que o invasor se faz passar por alguém e utiliza conversas de e-mail existentes para fins nefastos. Entender o comportamento normal dos usuários e perceber rapidamente as anomalias é fundamental para impedir infecções. É possível incluir usuários no aplicativo UBA com o assistente de importação de usuário e adicionar pontuação de risco e identidades de usuário unificadas ao QRadar SIEM com o aplicativo UBA.

 Assistente de importação de usuário 

Com o assistente de importação de usuário você pode importar usuários e dados do usuário diretamente do aplicativo UBA. O assistente de importação ajuda a importar usuários de um servidor LDAP, um servidor do Active Directory, tabelas de referência e arquivos CSV. Você pode criar também atributos customizados com o assistente de importação de usuários.

 Pontuação de risco 

Crie perfis de risco atribuindo riscos a diferentes casos de uso de segurança, dependendo da gravidade e da confiabilidade do incidente e utilizando os eventos existentes e dados de fluxo em seu sistema QRadar®. O perfil de risco pode utilizar regras simples, como se o usuário visita sites prejudiciais ou comprometidos, ou inclui stateful analytics que fazem uso do aprendizado de máquina.  

 Identidades de usuário unificadas 

Crie identidades de usuário unificadas combinando contas díspares para o usuário do QRadar. Importando dados do Active Directory, LDAP, tabela de referência ou arquivo CSV, o aplicativo UBA pode aprender quais contas pertencem a cada usuário. Isso ajuda também a combinar risco e tráfego entre os diferentes nomes de usuário no aplicativo UBA, para você monitorar melhor as ações do usuário e evitar ataques.  
O que está incluso
Complemento de aprendizado de máquina

Enriqueça e aprofunde seus casos de uso para executar a criação de perfil de série temporal e clustering com o complemento de aprendizado de máquina que aumenta o aplicativo UBA. O aprendizado de máquina é adicionado às visualizações existentes do aplicativo UBA que mostram o comportamento aprendido (modelos), o comportamento atual e alertas. O aprendizado de máquina usa dados históricos no QRadar para criar modelos preditivos e referências do comportamento normal de um usuário.  

 Leia sobre analytics do aprendizado de máquina
Regras e ajustes

O conteúdo da regra da UBA é instalado depois que o aplicativo é configurado e pode ser editado no aplicativo gerenciador de casos de uso do QRadar. As regras que medem o risco do usuário são adicionadas à tabela de dados da regra da UBA. As regras e os recursos de ajuste da UBA permitem determinar os parâmetros que o QRadar SIEM usará para manter sua empresa e seus dados protegidos.

 Explore as regras e os ajustes
Basta um funcionário clicar em um link, informar as credenciais ou abrir um anexo para o comprometimento total. Stephanie “Snow” Carruthers Chief People Hacker IBM Security® X-Force® Red

Perguntas frequentes

Sim. Se a execução estiver sendo realizada em um console do QRadar SIEM, o aplicativo UBA exige no mínimo 64 GB ou até 128 GB de memória. Além disso, considere a possibilidade de implementar um host de aplicativo para ter acesso a todos os benefícios de executar o aplicativo UBA com o aplicativo de aprendizado de máquina ativado.

O UBA integra-se diretamente ao QRadar SIEM usando a interface com o usuário e o banco de dados existentes. Todos os dados de segurança de toda a empresa permanecem em um local central e os analistas podem ajustar regras, gerar relatórios e conectar dados como parte da experiência do SIEM.

Como o UBA compartilha o mesmo banco de dados subjacente que o QRadar SIEM e o NDR, toda origem de dados ingerida pelo QRadar SIEM pode ser apresentada e aproveitada no UBA.

O pacote UBA é uma coleção de três aplicativos, um aplicativo LDAP para ingestão e união de informações de identidade do usuário, um aplicativo UBA para visualizar dados e analytics de dados e um aplicativo de aprendizado de máquina que fornece uma biblioteca de algoritmos de aprendizado de máquina para criar modelos comportamentais das atividades do usuário.

A detecção de anomalias é uma técnica usada para identificar padrões incomuns que não estão em conformidade com o comportamento normal e diferem muito da maioria dos dados. O UBA constrói uma referência de comportamento normal com base nos eventos de um usuário e de usuários semelhantes (pares) e usa essa referência para detectar comportamentos anômalos.

Pontuação de risco é a medida numérica do potencial nocivo da atividade do usuário. Todo comportamento anômalo detectado pelo UBA impacta a pontuação de risco do indivíduo.

A detecção de anomalias é uma técnica usada para identificar padrões incomuns que não estão em conformidade com o comportamento normal e diferem muito da maioria dos dados. O UBA constrói uma referência de comportamento normal com base nos eventos de um usuário e de usuários semelhantes (pares) e usa essa referência para detectar comportamentos anômalos.

Pontuação de risco é a medida numérica do potencial nocivo da atividade do usuário. Todo comportamento anômalo detectado pelo UBA impacta a pontuação de risco do indivíduo.

Após a instalação, os algoritmos de aprendizado de máquina ingerem os dados das quatro semanas anteriores do banco de dados do QRadar e podem demorar até 1 semana para construir os modelos de referência do comportamento normal do usuário.

O aplicativo UBA pode ser implementado no IBM Security® QRadar® SaaS, software ou implementações na nuvem.

O aplicativo UBA é oferecido aos clientes do QRadar sem custo adicional.

O suporte da IBM conta com recursos dedicados para ajudar a solucionar problemas de alta prioridade. O aplicativo UBA inclui uma seção de ajuda e suporte sobre como usar os aplicativos LDAP, UBA e de aprendizado de máquina.

Assim como nos aplicativos e módulos do QRadar, os dados são criptografados quando inativos.
Documentação

Explore a documentação adicional sobre como o aplicativo QRadar SIEM UBA ajuda a proteger seus dados e ativos de valor contra ameaças internas.

Consulte o documento técnico do QRadar SIEM User Behavior Analytics (UBA) 
Dê o próximo passo

Comece solicitando uma demo do QRadar SIEM para saber como a ferramenta de análise de comportamento do usuário pode proteger sua empresa contra ameaças cibernéticas.

Solicite uma demo
Outras maneiras de explorar Documentação Suporte Comunidade Parceiros Recursos