O aplicativo IBM Security® QRadar® SIEM User Behavior Analytics (UBA) estabelece uma referência de padrões de comportamento para seus funcionários, para você detectar melhor as ameaças à sua organização. Ele utiliza os dados já existem no QRadar SIEM para gerar novos insights sobre usuários e riscos.
Estabelecendo os perfis de risco para usuários dentro da sua rede, você consegue reagir mais rapidamente às atividades suspeitas, seja de roubo de identidade, hacking, phishing ou malware.
Faça a distinção entre o comportamento normal do usuário e as anomalias para impedir as ameaças
41% das infecções da rede são causadas por phishing¹
Mais de 50% dos ataques de phishing usam técnicas de spear phishing2
Houve um aumento de 100% ao mês nas tentativas de interceptação de ameaças conforme observado pelo software de detecção de ameaças X-Force®3
Pelo segundo ano consecutivo, o phishing foi o principal vetor de infecção em que o invasor se faz passar por alguém e utiliza conversas de e-mail existentes para fins nefastos. Entender o comportamento normal dos usuários e perceber rapidamente as anomalias é fundamental para impedir infecções. É possível incluir usuários no aplicativo UBA com o assistente de importação de usuário e adicionar pontuação de risco e identidades de usuário unificadas ao QRadar SIEM com o aplicativo UBA.
Com o assistente de importação de usuário você pode importar usuários e dados do usuário diretamente do aplicativo UBA. O assistente de importação ajuda a importar usuários de um servidor LDAP, um servidor do Active Directory, tabelas de referência e arquivos CSV. Você pode criar também atributos customizados com o assistente de importação de usuários.
Crie perfis de risco atribuindo riscos a diferentes casos de uso de segurança, dependendo da gravidade e da confiabilidade do incidente e utilizando os eventos existentes e dados de fluxo em seu sistema QRadar®. O perfil de risco pode utilizar regras simples, como se o usuário visita sites prejudiciais ou comprometidos, ou inclui stateful analytics que fazem uso do aprendizado de máquina.
Crie identidades de usuário unificadas combinando contas díspares para o usuário do QRadar. Importando dados do Active Directory, LDAP, tabela de referência ou arquivo CSV, o aplicativo UBA pode aprender quais contas pertencem a cada usuário. Isso ajuda também a combinar risco e tráfego entre os diferentes nomes de usuário no aplicativo UBA, para você monitorar melhor as ações do usuário e evitar ataques.
Enriqueça e aprofunde seus casos de uso para executar a criação de perfil de série temporal e clustering com o complemento de aprendizado de máquina que aumenta o aplicativo UBA. O aprendizado de máquina é adicionado às visualizações existentes do aplicativo UBA que mostram o comportamento aprendido (modelos), o comportamento atual e alertas. O aprendizado de máquina usa dados históricos no QRadar para criar modelos preditivos e referências do comportamento normal de um usuário.
O conteúdo da regra da UBA é instalado depois que o aplicativo é configurado e pode ser editado no aplicativo gerenciador de casos de uso do QRadar. As regras que medem o risco do usuário são adicionadas à tabela de dados da regra da UBA. As regras e os recursos de ajuste da UBA permitem determinar os parâmetros que o QRadar SIEM usará para manter sua empresa e seus dados protegidos.
Sim. Se a execução estiver sendo realizada em um console do QRadar SIEM, o aplicativo UBA exige no mínimo 64 GB ou até 128 GB de memória. Além disso, considere a possibilidade de implementar um host de aplicativo para ter acesso a todos os benefícios de executar o aplicativo UBA com o aplicativo de aprendizado de máquina ativado.
O UBA integra-se diretamente ao QRadar SIEM usando a interface com o usuário e o banco de dados existentes. Todos os dados de segurança de toda a empresa permanecem em um local central e os analistas podem ajustar regras, gerar relatórios e conectar dados como parte da experiência do SIEM.
Como o UBA compartilha o mesmo banco de dados subjacente que o QRadar SIEM e o NDR, toda origem de dados ingerida pelo QRadar SIEM pode ser apresentada e aproveitada no UBA.
O pacote UBA é uma coleção de três aplicativos, um aplicativo LDAP para ingestão e união de informações de identidade do usuário, um aplicativo UBA para visualizar dados e analytics de dados e um aplicativo de aprendizado de máquina que fornece uma biblioteca de algoritmos de aprendizado de máquina para criar modelos comportamentais das atividades do usuário.
A detecção de anomalias é uma técnica usada para identificar padrões incomuns que não estão em conformidade com o comportamento normal e diferem muito da maioria dos dados. O UBA constrói uma referência de comportamento normal com base nos eventos de um usuário e de usuários semelhantes (pares) e usa essa referência para detectar comportamentos anômalos.
Pontuação de risco é a medida numérica do potencial nocivo da atividade do usuário. Todo comportamento anômalo detectado pelo UBA impacta a pontuação de risco do indivíduo.
A detecção de anomalias é uma técnica usada para identificar padrões incomuns que não estão em conformidade com o comportamento normal e diferem muito da maioria dos dados. O UBA constrói uma referência de comportamento normal com base nos eventos de um usuário e de usuários semelhantes (pares) e usa essa referência para detectar comportamentos anômalos.
Pontuação de risco é a medida numérica do potencial nocivo da atividade do usuário. Todo comportamento anômalo detectado pelo UBA impacta a pontuação de risco do indivíduo.
Após a instalação, os algoritmos de aprendizado de máquina ingerem os dados das quatro semanas anteriores do banco de dados do QRadar e podem demorar até 1 semana para construir os modelos de referência do comportamento normal do usuário.
O aplicativo UBA pode ser implementado no IBM Security® QRadar® SaaS, software ou implementações na nuvem.
O aplicativo UBA é oferecido aos clientes do QRadar sem custo adicional.
O suporte da IBM conta com recursos dedicados para ajudar a solucionar problemas de alta prioridade. O aplicativo UBA inclui uma seção de ajuda e suporte sobre como usar os aplicativos LDAP, UBA e de aprendizado de máquina.
Assim como nos aplicativos e módulos do QRadar, os dados são criptografados quando inativos.
1, 2, 3 IBM Security X-Force Threat Intelligence Index 2023 Insight, Stephanie Carruthers