L'applicazione User Behavior Analytics (UBA) di IBM Security QRadar SIEM definisce una base di modelli di comportamento per i tuoi dipendenti, in modo da poter rilevare meglio le minacce alla tua organizzazione. Utilizza dati preesistenti in QRadar SIEM per generare nuova conoscenza su utenti e rischio.
Stabilendo i profili di rischio degli utenti all'interno della rete, potrai reagire più rapidamente alle attività sospette, che si tratti di furto d'identità, hacking, phishing o malware.
Distingui il normale comportamento dell'utente dalle anomalie per interrompere le minacce
Il 41% delle infezioni di rete è causato dal phishing¹
Più della metà degli attacchi di phishing ha utilizza tecniche di spear phishing2
Si è rilevato un un aumento del 100% al mese dei tentativi di hijacking delle minacce, come osservato dal software di rilevazione delle minacce X-Force®3
Per il secondo anno consecutivo, il phishing è stato il principale vettore di infezione, in cui l'autore dell'attacco si spaccia per qualcun altro e utilizza le conversazioni e-mail esistenti per scopi dannosi. Capire il comportamento normale degli utenti e individuare rapidamente le anomalie è fondamentale per bloccare le infezioni. È possibile aggiungere utenti all'app UBA con la procedura guidata di importazione degli utenti e aggiungere il punteggio di rischio e le identità utente unificate a QRadar SIEM con l'app UBA.
La procedura guidata di importazione degli utenti consente di importare utenti e dati utente direttamente dall'app UBA. Tale procedura consente di importare utenti da un server LDAP, un Active Directory server, tabelle di riferimento e file CSV. È inoltre possibile creare attributi personalizzati con la procedura guidata di importazione degli utenti.
Crea profili di rischio assegnando il rischio a diversi casi d'uso della sicurezza, a seconda della severità e dell'affidabilità dell'incidente e utilizzando i dati di eventi e flussi esistenti nel sistema QRadar®. Un profilo di rischio può basarsi su semplici regole, ad esempio se un utente visita siti web dannosi o compromessi, o includere analisi statiche che utilizzano l'apprendimento automatico.
Crea identità utente unificate combinando account diversi per un utente QRadar. Importando i dati da un'Active Directory, da LDAP, da una tabella di riferimento o da un file CSV, l'app UBA può apprendere quali account appartengono a ciascun utente. Ciò consente anche di combinare il rischio e il traffico tra i diversi nomi utente dell'app UBA, in modo da poter monitorare meglio le azioni degli utenti e impedire gli attacchi.
Arricchisci e approfondisci i tuoi casi d'uso per eseguire la creazione di profili e il clustering delle serie temporali con il componente aggiuntivo per l'apprendimento automatico, che integra l'app UBA. L'apprendimento automatico si aggiunge alle visualizzazioni esistenti dell'app UBA che mostrano il comportamento appreso (modelli), il comportamento attuale e gli avvisi. L'apprendimento automatico utilizza i dati storici di QRadar per creare modelli predittivi e linee di base di ciò che è normale per un utente.
Il contenuto delle regole UBA viene installato dopo la configurazione dell'app e può essere modificato nell'app di gestione dei casi d'uso QRadar. Le regole che misurano il rischio dell'utente vengono aggiunte alla tabella dati delle regole UBA. Le regole UBA e le funzioni di ottimizzazione consentono di determinare i parametri che QRadar SIEM utilizzerà per mantenere protetti l'azienda e i dati.
La risposta è sì. Se è in esecuzione su una console QRadar SIEM, l'app UBA richiede un minimo di 64 GB e fino a 128 GB di memoria. Inoltre, prendi in considerazione la distribuzione di un host app QRadar SIEM per accedere a tutti i vantaggi dell'esecuzione dell'app UBA con l'app di apprendimento automatico abilitata.
UBA si integra direttamente in QRadar SIEM utilizzando l'interfaccia utente e il database esistenti. Tutti i dati di sicurezza a livello aziendale possono rimanere in un'ubicazione centrale e gli analisti possono modificare le regole, generare report e collegare i dati come parte della propria esperienza SIEM.
Poiché l'app UBA condivide lo stesso database sottostante di QRadar SIEM e NDR, qualsiasi origine dei dati assimilata in QRadar SIEM può essere visualizzata e utilizzata in modo vantaggioso per UBA.
UBA si presenta come una raccolta di 3 app: un'app LDAP che aiuta ad acquisire e unire le informazioni di identità degli utenti, un'app UBA che aiuta a visualizzare dati e analitica e un'app di apprendimento automatico che fornisce una libreria di algoritmi di apprendimento automatico utilizzati per creare modelli comportamentali delle attività degli utenti.
Il rilevamento anomalie è una tecnica utilizzata per identificare pattern insoliti che non si conformano al normale comportamento e differiscono in maniera significativa dalla maggioranza dei dati. L'app UBA costruisce una linea di base del comportamento normale a partire dagli eventi di un utente e di utenti simili (peer) e poi utilizza questa linea di base per rilevare comportamento anomalo.
Un punteggio rischio è l'espressione numerica della potenziale nocività dell'attività di un utente. Ogni comportamento anomalo rilevato da UBA incide sul punteggio rischio di un singolo utente.
Il rilevamento anomalie è una tecnica utilizzata per identificare pattern insoliti che non si conformano al normale comportamento e differiscono in maniera significativa dalla maggioranza dei dati. L'app UBA costruisce una linea di base del comportamento normale a partire dagli eventi di un utente e di utenti simili (peer) e poi utilizza questa linea di base per rilevare comportamento anomalo.
Un punteggio rischio è l'espressione numerica della potenziale nocività dell'attività di un utente. Ogni comportamento anomalo rilevato da UBA incide sul punteggio rischio di un singolo utente.
Al momento dell'installazione, gli algoritmi di apprendimento automatico ingeriscono le precedenti 4 settimane di dati dal database QRadar e la costruzione dei modelli di base del normale comportamento degli utenti può richiedere fino a una settimana.
L'app UBA può essere distribuita in distribuzioni SaaS, software o cloud di IBM® Security QRadar.
L'app UBA è offerta gratuitamente ai clienti QRadar.
In caso di problemi ad alta priorità, IBM support mette a disposizione risorse utili. L'app UBA include una sezione di guida e supporto per l'utilizzo di LDAP, UBA e delle app di analitica di apprendimento automatico.
Come per tutte le applicazioni e i moduli QRadar, i dati vengono crittografati a riposo.
1, 2, 3 IBM Security X-Force Threat Intelligence Index 2023 Insight, Stephanie Carruthers