Startseite

Sicherheit

QRadar

SIEM

 Analyse des Benutzerverhaltens mit IBM QRadar SIEM
Verschaffen Sie sich einen besseren Einblick in Insider-Bedrohungen, decken Sie anomales Verhalten auf, identifizieren Sie schnell riskante Benutzer und generieren Sie aussagekräftige Einblicke.
Buchen Sie eine Demo von QRadar SIEM
Person, die auf Whiteboard im Büro schreibt
erkennen kompromittierte Zugangsdaten, Anmeldedaten, Lateralbewegung und anderes bösartiges Verhalten

IBM QRadar SIEM User Behavior Analyse (UBA) erstellt eine Grundlage für Verhaltensmuster Ihrer Mitarbeiter, damit Sie Bedrohungen für Ihr Unternehmen besser erkennen können. Es nutzt vorhandene Daten in QRadar SIEM, um neue Erkenntnisse über Benutzer und Risiken zu generieren.

Durch die Erstellung von Risikoprofilen für Benutzer in Ihrem Netzwerk können Sie schneller auf verdächtige Aktivitäten reagieren, sei es durch Identitätsdiebstahl, Hacking, Phishing oder Malware.
Mehr erfahren über UBA
Erkennung von Insider-Bedrohungen mit UBA
Es reicht schon, dass ein Mitarbeiter auf einen Link klickt, seine Zugangsdaten, Anmeldedaten oder einen Anhang öffnet – das kann zu einer Totalkompromittierung führen. Stephanie „Snow“ Carruthers Häuptling des People-Hackers IBM X-Force Rot
UBA schützt vor Phishing und mehr

Unterscheiden Sie normales Benutzerverhalten von Anomalien, um Bedrohungen zu stoppen

41%

41 % der Netzwerkinfektionen werden durch Phishing verursacht.1

 >50%

Mehr als 50 % der Phishing-Angriffe verwenden Spear-Phishing-Techniken.2

 100%

Die Zahl der Bedrohungs-Hijacking-Versuche ist um 100 % pro Monat gestiegen, wie von der X-Force Threat Detection-Software beobachtet wurde.3
So funktioniert's

Das zweite Jahr in Folge war Phishing der häufigste Infektionsvektor, bei dem sich ein Angreifer als jemand ausgibt und bestehende E-Mail-Konversationen für schändliche Zwecke nutzt. Das normale Verhalten der Benutzer zu verstehen und Anomalien schnell zu bemerken, ist entscheidend, um Infektionen zu stoppen. Sie können Benutzer mit dem Benutzerimport-Assistenten hinzufügen und Risikobewertung und einheitliche Benutzeridentitäten zu QRadar SIEM mit UBA hinzufügen.

 Benutzerimport-Assistent 

Der Benutzerimport-Assistent ermöglicht Ihnen den Import von Benutzern und Benutzerdaten direkt aus der UBA-App. Der Benutzerimport-Assistent unterstützt Sie beim Importieren von Benutzern von einem LDAP-Server, einem Active Directory-Server, Referenztabellen und CSV-Dateien. Sie können mit dem Benutzerimport-Assistent auch benutzerdefinierte Attribute erstellen.

 Risikobewertung 

Erstellen Sie Risikoprofile, indem Sie das Risiko je nach Schweregrad und Zuverlässigkeit des Vorfalls unterschiedlichen Sicherheitsanwendungsfällen zuordnen und vorhandene Ereignis- und Ablaufdaten in Ihrem QRadar System verwenden. Ein Risikoprofil kann sich auf einfache Regeln stützen, z. B. wenn ein Benutzer schädliche oder kompromittierte Websites besucht, oder zustandsbehaftete Analysen enthalten, die maschinelles Lernen verwenden.  

 Einheitliche Benutzeridentitäten 

Erstellen Sie einheitliche Benutzeridentitäten, indem Sie verteilte Konten für einen QRadar Benutzer kombinieren. Durch den Import von Daten aus einem Active Directory, LDAP, einer Referenztabelle oder einer CSV-Datei kann der UBA-App beigebracht werden, welche Konten zu den einzelnen Benutzern gehören. Auf diese Weise können Sie auch Risiko- und Verkehrsdaten über verschiedene Benutzernamen hinweg in der UBA-App kombinieren, um Benutzeraktionen besser zu überwachen und Angriffe zu verhindern.  
Im Ticket enthalten
Add-on für maschinelles Lernen

Bereichern und vertiefen Sie Ihren Anwendungsfall, um Zeitreihenprofilierung und Clustering mit dem Add-on maschinelles Lernen durchzuführen, das die UBA-App erweitert. maschinelles Lernen ergänzt bestehende UBA-App-Visualisierungen, die erlerntes Verhalten (Modelle), aktuelles Verhalten und Warnungen anzeigen. Maschinelles Lernen verwendet historische Daten in QRadar , um die Vorhersagemodelle und Baselines dessen zu erstellen, was für einen Benutzer normal ist.  

 Lesen Sie mehr über maschinelles Lernen Analyse
Regeln und Abstimmung

UBA-Regelinhalte werden nach der Konfiguration der App installiert und können in der QRadar Use Case Manager-App bearbeitet werden. Regeln, die das Benutzerrisiko messen, werden der UBA-Regeldatentabelle hinzugefügt. Mit den UBA-Regeln und der Tuning-Funktion können Sie festlegen, mit welchen Parametern QRadar SIEM Ihr Unternehmen und Ihre Daten schützt.

 Regeln und Tuning erkunden

Häufig gestellte Fragen

Ja. Beim Ausführen auf einer QRadar SIEM-Konsole benötigt die UBA-App mindestens 64 GB und höchstens 128 GB Arbeitsspeicher. Erwägen Sie außerdem die Bereitstellung eines QRadar SIEM App-Hosts, um den vollen Vorteil und Nutzen der Ausführung der UBA-App mit aktivierter maschinelles Lernen-App nutzen zu können.

UBA lässt sich direkt in QRadar SIEM integrieren, indem es die vorhandene Benutzeroberfläche und Datenbank verwendet. Alle unternehmensweiten Sicherheitsdaten bleiben an einem zentralen Ort und Analysten können im Rahmen ihrer SIEM-Erfahrung Regeln abstimmen, Berichte erstellen und Daten verbinden.

Da UBA die gleiche zugrunde liegende Datenbank wie QRadar SIEM und NDR verwendet, kann jede Datenquelle, die von QRadar SIEM erfasst wird, in UBA angezeigt und genutzt werden.

UBA besteht aus einer Sammlung von 3 Apps – einer LDAP-App, die dabei hilft, die Identitätsinformationen der Benutzer zu erfassen und zusammenzuführen, einer UBA-App, die bei der Visualisierung und Analyse von Daten hilft, und einer maschinellen Lern-App, die eine Bibliothek mit maschinellen Lernalgorithmen bereitstellt, die zur Erstellung von Verhaltensmodellen der Benutzeraktivitäten verwendet werden.

Die Anomalieerkennung ist eine Technik, die verwendet wird, um ungewöhnliche Muster zu identifizieren, die nicht dem normalen Verhalten entsprechen und sich erheblich von den meisten Daten unterscheiden. UBA erstellt eine Baseline des normalen Verhaltens aus den Ereignissen eines Benutzers und ähnlicher Benutzer (Peers) und verwendet diese Baseline dann, um anomales Verhalten zu erkennen.

Ein Risikobewertungswert ist das numerische Maß für die potenzielle Schädlichkeit der Aktivität eines Benutzers. Jedes anomale Verhalten, das von UBA erkannt wird, wirkt sich auf die Risikobewertung eines einzelnen Benutzers aus.

Ein Risikobewertungswert ist das numerische Maß für die potenzielle Schädlichkeit der Aktivität eines Benutzers. Jedes anomale Verhalten, das von UBA erkannt wird, wirkt sich auf die Risikobewertung eines einzelnen Benutzers aus.

Nach der Installation erfassen die Algorithmen des maschinellen Lernens die Daten der letzten vier Wochen aus der QRadar Datenbank und benötigen möglicherweise bis zu einer Woche, um die Basismodelle des normalen Benutzerverhaltens zu erstellen.

Die UBA-App kann in IBM Security QRadar SaaS, Software oder Cloud bereitgestellt werden.

Die UBA-App wird QRadar-Kunden ohne zusätzliche Kosten zur Verfügung gestellt.

Wie bei allen QRadar Anwendungen und Modulen werden die Daten im Ruhezustand verschlüsselt.
Dokumentation

Erfahren Sie mehr darüber, wie die QRadar SIEM UBA App Ihnen hilft, wertvolle Daten und Assets vor Insider-Bedrohungen zu schützen.

Weitere Informationen finden Sie im technischen Dokument QRadar SIEM User Behavior Analysis (UBA) 
Machen Sie den nächsten Schritt

Beginnen Sie mit der Demo-Anfrage von QRadar SIEM und erfahren Sie, wie das Tool zur Analyse des Benutzerverhaltens Ihr Unternehmen vor Cyberbedrohungen schützen kann.

Demo anfragen
Weitere Erkundungsmöglichkeiten Dokumentation Support Community Partner Ressourcen