Die App für User Behavior Analytics (UBA) von IBM Security® QRadar® SIEM erstellt eine Referenzversion der Verhaltensmuster Ihrer Mitarbeiter, damit Sie Bedrohungen für Ihr Unternehmen besser erkennen können. Die App nutzt vorhandene Daten in QRadar SIEM, um neue Erkenntnisse über Benutzer und Risiken zu gewinnen.
Durch die Erstellung von Risikoprofilen für Benutzer innerhalb Ihres Netzwerks können Sie schneller auf verdächtige Aktivitäten reagieren, ganz gleich, ob Identitätsdiebstahl, Hacking, Phishing oder Malware.
Unterscheiden Sie normales Benutzerverhalten von Unregelmäßigkeiten, um Bedrohungen zu stoppen
41 % der Netzwerkinfizierungen werden durch Phishing verursacht¹
Über die Hälfte aller Phishing-Attacken verwenden Spear-Phishing-Verfahren2
Laut der X-Force®-Software zur Erkennung von Bedrohungen ist die Zahl der Hijackingversuche um 100 % pro Monat gestiegen3
Das zweite Jahr in Folge war Phishing der führende Infizierungsvektor. Hierbei nimmt ein Angreifer die Identität einer anderen Person an und nutzt bestehende E-Mail-Konversationen für böswillige Zwecke. Es ist von entscheidender Bedeutung, das normale Verhalten der Benutzer zu verstehen und Unregelmäßigkeiten schnell zu erkennen, um Infizierungen zu stoppen. Sie können der UBA-Anwendung mit dem Assistenten für den Benutzerimport die gewünschten Benutzer hinzufügen. Außerdem haben Sie die Möglichkeit, mit der UBA-Anwendung Risikobewertungen und einheitliche Benutzeridentitäten zu QRadar SIEM hinzufügen.
Mit dem Assistenten für den Benutzerimport können Sie Benutzer und Benutzerdaten direkt aus der UBA-Anwendung importieren. Der Assistent hilft Ihnen außerdem dabei, Benutzer von einem LDAP-Server, einem Active-Directory-Server, aus Referenztabellen und aus CSV-Dateien zu importieren. Sie können damit auch benutzerdefinierte Attribute erstellen.
Erstellen Sie Risikoprofile, indem Sie verschiedenen Sicherheitsanwendungsfällen ein Risiko zuweisen, je nach Schweregrad und Ernsthaftigkeit eines Vorfalls und unter Verwendung vorhandener Ereignis- und Ablaufdaten in Ihrem QRadar®-System. Ein Risikoprofil kann sich auf einfache Regeln stützen, z. B. wenn ein Benutzer schädliche oder kompromittierte Websites besucht, oder es kann zustandsbezogene Analysen enthalten, die maschinelles Lernen nutzen.
Erstellen Sie einheitliche Benutzeridentitäten, indem Sie verschiedene Konten für einen QRadar-Benutzer kombinieren. Durch den Import von Daten aus einem Active Directory, LDAP, einer Referenztabelle oder einer CSV-Datei können Sie der UBA-Anwendung mitteilen, welche Konten zu den einzelnen Benutzern gehören. Dies hilft Ihnen auch, Risiken und Datenverkehr für die verschiedenen Benutzernamen in der UBA-Anwendung zu kombinieren, sodass Sie Benutzeraktionen besser überwachen und Angriffe verhindern können.
Erweitern und vertiefen Sie Ihre Anwendungsfälle für die Erstellung von Zeitreihenprofilen und Clustering mit dem Add-on für maschinelles Lernen, das eine Erweiterung der UBA-Anwendung darstellt. Das maschinelle Lernen ergänzt die bestehenden Visualisierungen der UBA-Anwendung, die das gelernte Verhalten (Modelle), das aktuelle Verhalten und die Alerts anzeigen. Das maschinelle Lernen verwendet historische Daten in QRadar, um die Vorhersagemodelle und Referenzversionen für das normale Verhalten eines Benutzers zu erstellen.
Die Inhalte der UBA-Regeln werden installiert, nachdem die App konfiguriert wurde, und können in der QRadar Use Case Manager-App bearbeitet werden. Regeln, die das Benutzerrisiko messen, werden der UBA-Regeldatentabelle hinzugefügt. Mit den UBA-Regeln und den Optimierungsfunktionen können Sie die Parameter festlegen, die QRadar SIEM verwendet, um Ihr Unternehmen und Ihre Daten zu schützen.
Häufig gestellte Fragen
Ja. Wenn sie auf einer QRadar SIEM-Konsole ausgeführt wird, benötigt die UBA-Anwendung mindestens 64 GB oder bis zu 128 GB Speicherplatz. Zusätzlich sollten Sie die Bereitstellung eines QRadar Siem-Anwendungshosts in Betracht ziehen, um auf alle Vorteile der UBA-Anwendung in Verbindung mit der aktivierten Anwendung für das maschinelle Lernen zugreifen zu können.
UBA lässt sich direkt in QRadar SIEM integrieren, indem es die vorhandene Benutzeroberfläche und Datenbank nutzt. Alle unternehmensweiten Sicherheitsdaten verbleiben an einem zentralen Ort, wobei Analytiker im Rahmen ihrer SIEM-Umgebung Regeln anpassen, Berichte erstellen und Daten verbinden können.
Weil UBA die gleiche zugrunde liegende Datenbank nutzt wie QRadar SIEM und NDR, können sämtliche Datenquellen, die in QRadar SIEM aufgenommen wurden, auch für UBA angezeigt und genutzt werden.
UBA wird als Paket aus drei Anwendungen angeboten: eine LDAP-Anwendung für die Aufnahme und Verknüpfung der Identitätsinformationen der Benutzer, eine UBA-Anwendung für die Visualisierung der Daten und Analysen sowie eine Anwendung für das maschinelle Lernen, die eine Bibliothek aus ML-Algorithmen bereitstellt. Die Algorithmen dienen der Entwicklung von Verhaltensmodellen für Benutzeraktivitäten.
Anomalieerkennung ist ein Verfahren für die Identifizierung ungewöhnlicher Muster, die nicht dem normalen Verhalten entsprechen und sich erheblich vom Großteil der Daten unterscheiden. UBA erstellt aus den Ereignissen eines Benutzers und ähnlicher Benutzer (Peers) eine Referenzversion für normales Verhalten und verwendet dann diese Referenzversion, um Unregelmäßigkeiten zu erkennen.
Ein Risikoscore ist ein numerisches Maß für die potenzielle Schädlichkeit der Aktivitäten von Usern. Jede von UBA erkannte Unregelmäßigkeit hat Einfluss auf die Risikobewertung eines Benutzers.
Anomalieerkennung ist ein Verfahren für die Identifizierung ungewöhnlicher Muster, die nicht dem normalen Verhalten entsprechen und sich erheblich vom Großteil der Daten unterscheiden. UBA erstellt aus den Ereignissen eines Benutzers und ähnlicher Benutzer (Peers) eine Referenzversion für normales Verhalten und verwendet dann diese Referenzversion, um Unregelmäßigkeiten zu erkennen.
Ein Risikoscore ist ein numerisches Maß für die potenzielle Schädlichkeit der Aktivitäten von Usern. Jede von UBA erkannte Unregelmäßigkeit hat Einfluss auf die Risikobewertung eines Benutzers.
Bei der Installation nehmen die Algorithmen für maschinelles Lernen die Daten der letzten 4 Wochen aus der QRadar-Datenbank auf. Es kann bis zu 1 Woche dauern, bis die Referenzversion für normales Benutzerverhalten erstellt sind.
Die UBA-Anwendung lässt sich in SaaS-, Software- und Cloud-Deployments von IBM Security® QRadar® bereitstellen.
Die UBA-Anwendung wird Kunden von QRadar ohne Zusatzkosten angeboten.
Der IBM Support verfügt über dedizierte Ressourcen, die bei Problemen hoher Priorität helfen können. Die UBA-Anwendung beinhaltet einen Hilfe- und Support-Bereich für die Nutzung der Anwendungen für LDAP, UBA und ML-Analysen.
Wie bei allen QRadar-Anwendungen und -Modulen werden die Daten im Ruhezustand verschlüsselt.
Fußnoten
1, 2, 3 IBM Security X-Force Threat Intelligence Index 2023 Insight, Stephanie Carruthers