Startseite Sicherheit QRadar SIEM Analyse des Benutzerverhaltens mit IBM QRadar SIEM
Verschaffen Sie sich einen besseren Überblick über Bedrohungen von innen, decken Sie Unregelmäßigkeiten auf, identifizieren Sie auf einfache Weise risikobehaftete Benutzer und generieren Sie schnell aussagefähige Erkenntnisse
Buchen Sie eine QRadar SIEM-Demo Sehen Sie sich den G2 Grid Herbst-Bericht für UEBA an
Person schreibt in einem Büro auf ein Whiteboard
Erkennen Sie kompromittierte Zugangsdaten, Lateralausbreitung und anderes schädliches Verhalten

Behavior Analytics (UBA) von IBM Security QRadar SIEM erstellt eine Referenzversion der Verhaltensmuster Ihrer Mitarbeiter, damit Sie Bedrohungen für Ihr Unternehmen besser erkennen können. Die App nutzt vorhandene Daten in QRadar SIEM, um neue Erkenntnisse über Benutzer und Risiken zu gewinnen.

Durch die Erstellung von Risikoprofilen für Benutzer innerhalb Ihres Netzwerks können Sie schneller auf verdächtige Aktivitäten reagieren, ganz gleich, ob Identitätsdiebstahl, Hacking, Phishing oder Malware.
Weitere Informationen über UBA

Insider-Bedrohungen erkennen mit UBA
Es reicht schon aus, wenn ein Mitarbeiter auf einen Link klickt, seine Anmeldedaten weitergibt oder einen Anhang öffnet, um ein System komplett lahmzulegen. Stephanie „Snow” Carruthers Chief People Hacker IBM X-Force Red
UBA schützt vor Phishing und mehr

Unterscheiden Sie normales Benutzerverhalten von Unregelmäßigkeiten, um Bedrohungen zu stoppen

41 %

41 % der Netzwerkinfizierungen werden durch Phishing verursacht.1

 >50 %

Über die Hälfte aller Phishing-Attacken verwenden Spear-Phishing-Verfahren.2

 100 %

Laut der X-Force-Software zur Erkennung von Bedrohungen ist die Zahl der Hijackingversuche um 100 % pro Monat gestiegen.3
Funktionsweise

Das zweite Jahr in Folge war Phishing der führende Infizierungsvektor. Hierbei nimmt ein Angreifer die Identität einer anderen Person an und nutzt bestehende E-Mail-Konversationen für böswillige Zwecke. Es ist von entscheidender Bedeutung, das normale Verhalten der Benutzer zu verstehen und Unregelmäßigkeiten schnell zu erkennen, um Infizierungen zu stoppen. Sie können Benutzer mit dem Benutzerimport-Assistenten hinzufügen und QRadar SIEM mit UBA um Risikobewertungen und einheitliche Benutzeridentitäten erweitern.

 Assistent für den Benutzerimport 

Mit dem Assistenten für den Benutzerimport können Sie Benutzer und Benutzerdaten direkt aus der UBA-Anwendung importieren. Der Assistent hilft Ihnen außerdem dabei, Benutzer von einem LDAP-Server, einem Active-Directory-Server, aus Referenztabellen und aus CSV-Dateien zu importieren. Sie können damit auch benutzerdefinierte Attribute erstellen.

 Risikoscoring 

Erstellen Sie Risikoprofile, indem Sie verschiedenen Sicherheitsanwendungsfällen ein Risiko zuweisen, je nach Schweregrad und Ernsthaftigkeit eines Vorfalls und unter Verwendung vorhandener Ereignis- und Ablaufdaten in Ihrem QRadar-System. Ein Risikoprofil kann sich auf einfache Regeln stützen, z. B. wenn ein Benutzer schädliche oder kompromittierte Websites besucht, oder es kann zustandsbezogene Analysen enthalten, die maschinelles Lernen nutzen.  

 Einheitliche Benutzeridentitäten 

Erstellen Sie einheitliche Benutzeridentitäten, indem Sie verschiedene Konten für einen QRadar-Benutzer kombinieren. Durch den Import von Daten aus einem Active Directory, LDAP, einer Referenztabelle oder einer CSV-Datei können Sie der UBA-Anwendung mitteilen, welche Konten zu den einzelnen Benutzern gehören. Dies hilft Ihnen auch, Risiken und Datenverkehr für die verschiedenen Benutzernamen in der UBA-Anwendung zu kombinieren, sodass Sie Benutzeraktionen besser überwachen und Angriffe verhindern können.  
Was ist im Funktionsumfang enthalten?
Add-on für maschinelles Lernen

Erweitern und vertiefen Sie Ihre Anwendungsfälle für die Erstellung von Zeitreihenprofilen und Clustering mit dem Add-on für maschinelles Lernen, das eine Erweiterung der UBA-Anwendung darstellt. Das maschinelle Lernen ergänzt die bestehenden Visualisierungen der UBA-Anwendung, die das gelernte Verhalten (Modelle), das aktuelle Verhalten und die Alerts anzeigen. Das maschinelle Lernen verwendet historische Daten in QRadar, um die Vorhersagemodelle und Referenzversionen für das normale Verhalten eines Benutzers zu erstellen.  

 Weitere Informationen über die Nutzung von maschinellem Lernen für Analysen
Regeln und Optimierung

Die Inhalte der UBA-Regeln werden installiert, nachdem die App konfiguriert wurde, und können in der QRadar Use Case Manager-App bearbeitet werden. Regeln, die das Benutzerrisiko messen, werden der UBA-Regeldatentabelle hinzugefügt. Mit den UBA-Regeln und den Optimierungsfunktionen können Sie die Parameter festlegen, die QRadar SIEM verwendet, um Ihr Unternehmen und Ihre Daten zu schützen.

 Regeln und Optimierung ansehen

Häufig gestellte Fragen

Ja. Wenn sie auf einer QRadar SIEM-Konsole ausgeführt wird, benötigt die UBA-Anwendung mindestens 64 GB oder bis zu 128 GB Speicherplatz. Zusätzlich sollten Sie die Bereitstellung eines QRadar Siem-Anwendungshosts in Betracht ziehen, um auf alle Vorteile der UBA-Anwendung in Verbindung mit der aktivierten Anwendung für das maschinelle Lernen zugreifen zu können.

UBA lässt sich direkt in QRadar SIEM integrieren, indem es die vorhandene Benutzeroberfläche und Datenbank nutzt. Alle unternehmensweiten Sicherheitsdaten verbleiben an einem zentralen Ort, wobei Analytiker im Rahmen ihrer SIEM-Umgebung Regeln anpassen, Berichte erstellen und Daten verbinden können.

Weil UBA die gleiche zugrunde liegende Datenbank nutzt wie QRadar SIEM und NDR, können sämtliche Datenquellen, die in QRadar SIEM aufgenommen wurden, auch für UBA angezeigt und genutzt werden.

UBA wird als Paket aus drei Anwendungen angeboten: eine LDAP-Anwendung für die Aufnahme und Verknüpfung der Identitätsinformationen der Benutzer, eine UBA-Anwendung für die Visualisierung der Daten und Analysen sowie eine Anwendung für das maschinelle Lernen, die eine Bibliothek aus ML-Algorithmen bereitstellt. Die Algorithmen dienen der Entwicklung von Verhaltensmodellen für Benutzeraktivitäten.

Anomalieerkennung ist ein Verfahren für die Identifizierung ungewöhnlicher Muster, die nicht dem normalen Verhalten entsprechen und sich erheblich vom Großteil der Daten unterscheiden. UBA erstellt aus den Ereignissen eines Benutzers und ähnlicher Benutzer (Peers) eine Referenzversion für normales Verhalten und verwendet dann diese Referenzversion, um Unregelmäßigkeiten zu erkennen.

Ein Risikoscore ist ein numerisches Maß für die potenzielle Schädlichkeit der Aktivitäten von Usern. Jede von UBA erkannte Unregelmäßigkeit hat Einfluss auf die Risikobewertung eines Benutzers.

Ein Risikoscore ist ein numerisches Maß für die potenzielle Schädlichkeit der Aktivitäten von Usern. Jede von UBA erkannte Unregelmäßigkeit hat Einfluss auf die Risikobewertung eines Benutzers.

Bei der Installation nehmen die Algorithmen für maschinelles Lernen die Daten der letzten 4 Wochen aus der QRadar-Datenbank auf. Es kann bis zu 1 Woche dauern, bis die Referenzversion für normales Benutzerverhalten erstellt sind.

Die UBA-Anwendung lässt sich in SaaS-, Software- und Cloud-Deployments von IBM Security QRadar bereitstellen.

Die UBA-Anwendung wird Kunden von QRadar ohne Zusatzkosten angeboten.

Wie bei allen QRadar-Anwendungen und -Modulen werden die Daten im Ruhezustand verschlüsselt.
Dokumentation

Lesen Sie weitere Dokumentationen darüber, wie die QRadar SIEM UBA-Anwendung Ihnen hilft, wertvolle Daten und Assets vor Bedrohung von innen zu schützen.

Technisches Dokument zu QRadar SIEM User Behavior Analytics (UBA) ansehen 
Machen Sie den nächsten Schritt

Fordern Sie eine Demo von QRadar SIEM an und erfahren Sie, wie das Tool zur Analyse des Benutzerverhaltens Ihr Unternehmen vor Cyberbedrohungen schützen kann.

Demo anfragen
Weitere Erkundungsmöglichkeiten Dokumentation Support Community Partner Ressourcen