IBM Security® QRadar® SIEM 用户行为分析 (UBA) 应用程序为您的员工建立了行为模式的基线,因此您可以更好地检测组织面临的威胁。其使用 QRadar SIEM 中现有的数据生成有关用户和风险的新洞察。
通过建立网络内用户的风险概要,您可以更快地对身份盗用、黑客攻击、网络钓鱼或恶意软件等可疑活动做出反应。
区分正常的用户行为和异常行为,以阻止威胁
41% 的网络感染是由网络钓鱼引起的¹
50% 以上的网络钓鱼攻击使用鱼叉式网络钓鱼技术2
据 X-Force® 威胁检测软件所观察,每月威胁劫持尝试增加 100%3
网络钓鱼已连续第二年成为攻击者冒充他人并利用现有电子邮件对话达到恶意目的的主要感染途径。了解用户的正常行为并快速发现异常对于阻止感染至关重要。您可以使用用户导入向导将用户添加到 UBA 应用程序,并使用 UBA 应用程序将风险评分和统一用户标识添加到 QRadar SIEM。
用户导入向导允许您直接从 UBA 应用程序导入用户和用户数据。用户导入向导可帮助您从 LDAP 服务器、Active Directory 服务器、引用表和 CSV 文件导入用户。您也可以使用用户导入向导创建自定义属性。
根据事件的严重性和可靠性,为不同的安全用例分配风险,并使用 QRadar® 系统中现有的事件和流数据,创建风险概要。风险概要可能依赖于简单的规则,例如用户是否访问有害或受损的网站,或者包含使用机器学习的状态分析。
通过合并 QRadar 用户的不同帐户来建立统一的用户标识。通过从 Active Directory、LDAP、引用表或 CSV 文件导入数据,UBA 应用程序可以获知每个用户的帐户。这还可以帮助您在 UBA 应用程序中合并不同用户名的风险和流量,从而更好地监视用户操作并防止攻击。
常见问题解答
是。如果在 QRadar SIEM 控制台上运行,则 UBA 应用程序需要至少 64 GB 或最多 128 GB 的内存。此外,为了充分发挥运行 UBA 应用程序(在启用机器学习应用程序的情况下)的好处,还要考虑部署一个 QRadar SIEM 应用程序主机。
UBA 使用现有的用户接口和数据库直接集成至 QRadar SIEM 中。整个企业的安全数据依然集中存储于一处,分析人员可以调试规则、生成报告并连接数据,这是 SIEM 体验的一部分。
鉴于 UBA 与 QRadar SIEM 和 NDR 共享相同的底层数据库,因此 QRadar SIEM 采集的任何数据源都可以在 UBA 中调取和使用。
UBA 由三个应用程序打包而成 — 1 个 LDAP 应用程序,帮助提取、聚结用户身份信息;1 个 UBA 应用程序,帮助实现数据可视化和分析;1 个机器学习应用程序,提供一个机器学习算法库,存放创建用户活动的行为模型的算法。
异常检测是一种技术,用于识别与正常行为不符、与大多数的数据存在显著差异的异常模式。UBA 根据用户和类似用户(对等)的事件建立正常行为的基线,然后使用该基线来检测异常行为。
风险分数是量度用户行为潜在危害性的数字。UBA 检测到的每个异常行为都会对某个用户的风险分数造成影响。
异常检测是一种技术,用于识别与正常行为不符、与大多数的数据存在显著差异的异常模式。UBA 根据用户和类似用户(对等)的事件建立正常行为的基线,然后使用该基线来检测异常行为。
风险分数是量度用户行为潜在危害性的数字。UBA 检测到的每个异常行为都会对某个用户的风险分数造成影响。
安装后,机器学习算法会从 QRadar 数据库中提取过去 4 周的数据,可能最多在 1 周内构建出正常用户行为的基线模型。
UBA 应用程序可以部署在 IBM Security® QRadar® SaaS、软件或云部署中。
UBA 应用程序免费开放给 QRadar 客户使用。
IBM 支持部门设有专门的团队可帮助客户解决高优先级的问题。UBA 应用程序中包含帮助和支持版块,介绍 LDAP、UBA 和机器学习分析应用程序的使用方法。
与所有 QRadar 应用程序和模块一样,UBA 中的数据也会被静态加密。
脚注
1, 2, 3 2023 年 IBM Security X-Force 威胁情报指数洞察分析,Stephanie Carruthers