В загальному випадку, атаки бувають двох типів: зовнішні та внутрішні. Тому будь-яка організація може бути ціллю як кібератак, та і загроз зсередини підприємства. Але у внутрішніх порушників є перевага серед інших, оскільки вони мають довірений доступ до всього інформаційного середовища організації і відрізнити його дії від нешкідливого користувача досить важко.
Splunk User Behavior Analytics – це готове рішення, яке допомагає організаціям знаходити відомі і приховані загрози за допомогою науки про дані, машинного навчання, аналізу та характеристики поведінки користувачів, аналітики тимчасових груп та складної кореляції. Результати аналізу представляються з оцінками ризиків і підтверджуються даними, щоб аналітик і фахівець з виявлення загроз могли швидко відреагувати на них і вжити відповідних заходів.
З Splunk User Behavior Analytic Ви отримаєте:
- Виявлення загроз підвищеної складності (APT), заражень шкідливими програмами і внутрішніх загроз без підписів, правил, політик або аналізу людських чинників
- Покращення виявлення загроз (на відміну від звичайних антивірусів) і цільової відповідь за допомогою різних індикаторів загроз і даних, які це підтверджують, в контексті проведення атаки для цільового виправлення
- Кардинальне підвищення ефективності операційних центрів захисту (SOC) за допомогою сортування списків, які показують події в ланцюзі проведення атаки з посиланнями підтверджуючу інформацію
- Автоматична інтеграція інформації про погрози з ПО Splunk Enterprise і Splunk App for Enterprise Security для визначення обсягу, блокування, обмеження зони дії атаки і відновлення після неї
Огляд продукту User Behavior Analytics
Панель безпеки
Візуалізація загроз і відхилень від норми, виявлених в організації, в зведенні високого рівня з базисними характеристиками для користувачів, пристроїв, додатків і активних сеансів з відомостями, що містять відхилення.
Аналіз загроз
Екран аналізу загроз допомагає досліджувати загрозу і повідомляє про тривалість атаки, включаючи відомості про виявлені відхилення, а також про користувачів, пристрої і додатки, які вважаються частиною атаки.
Аналіз відхилень (по користувачам)
Ця панель моніторингу формує і дає можливість побачити загальну картину поведінки користувачів із зазначенням організації, будь-яким чином пов’язаної з відхиленнями користувачів, погроз і сеансів, які не відповідають нормі. Крім того, в цьому поданні вказується класифікація загроз і відхилень, а також зміна з плином часу стану тих користувачів, які будь-яким чином пов’язані з відхиленнями.
Основні можливості Splunk User Behavior Analytics
Виявлення загроз з поведінки
Формування профілів поведінки і аналітика тимчасових груп по користувачах, пристроях, облікових записів служб і додатків для виявлення відхилень і прив’язки загроз до ланцюга проведення атаки.
Оптимізований процес обробки загроз
Отримуйте візуальну інформацію про приховані загрози для аналізу, орієнтованого на робочі потоки аналітиків з безпеки і фахівців, відповідальних за виявлення загроз.
Виявлення атаки і визначення вектора атаки
Автоматична ідентифікація загроз підвищеної складності (APT), класифікація відхилень в реальному часі, підозри на атаку – атаки з передачею хеша (pass-the-hash) тощо.
Аналіз і дослідження атак
Інтерактивне дослідження загроз, включаючи доступність підтверджуючих даних для швидкого розслідування і реагування на загрози.
Самонавчання і настройка
Алгоритми самонавчання та адаптації (машинне навчання і статистика) дозволяють визначити аномальний та підозрілий шлях і частоту, включаючи ідентифікацію критичної загрози.
Аналітика поведінки користувачів. Cценарії використання
Охоплюючи весь життєвий цикл атаки і надаючи платформу для її виявлення та реагування, Splunk як і раніше пропонує найкраще рішення для аналітики безпеки в будь-якій галузі.
Найпопулярніші загрози та їх вирішення з допомогою Splunk User Behavior Analytics.
- Крадіжка інтелектуальної власності і проникнення даних → Швидке визначення проникнення даних зі сторонніх ресурсів або від користувачів всередині організації
- Крадіжка облікових записів і зловживання привілейованими обліковими записами → Швидке визначення скомпрометованих облікових записів і забезпечення повної прозорості даних про загрози, пов’язані з привілейованими обліковими записами
- Компрометація віртуальних контейнерів і хмарних ресурсів → Визначення базисних характеристик поведінки, виявлення відхилень і загроз для віртуальних контейнерів і хмарних додатків
- Виявлення шахрайства → Поведінкове моделювання транзакцій і автоматичне моделювання загроз для виявлення шахрайських дій
- Підозріла поведінка: користувача, пристрою і додатку → Виявлення загроз і відхилень, пов’язаних з користувачами і підрозділами всередині організації. Аналіз поведінки користувачів і підрозділів (User and Entity Behavior Analytics, UEBA)
- Виявлення шкідливих програм і горизонтальне поширення → Розпізнавання кібератак і отримання даних про переміщення зловмисника всередині організації
Доступні робочі потоки в Splunk UBA
Splunk® UBA аналізує і логічно пов’язує інформацію про погрози і інциденти, які можуть перерости в атаку, щоб надати її менеджеру з інформаційної безпеки, аналітику операційного центру захисту, аналітику з відповідей на інциденти і фахівця з виявлення загроз.
Аналітика безпеки
Повністю автоматична платформа виявлення несправностей, включаючи аналіз тимчасових груп, що дозволяє фахівцеві з виявлення загроз досліджувати загрози, виявляти основні порушення і підозрілі шаблони поведінки.
Виявлення загроз
Єдине, комплексне рішення для боротьби з кібератаками і внутрішніми загрозами, такими як загрози підвищеної складності, зараження шкідливими програмами, зловживання привілейованими обліковими записами, проникнення даних, шахрайство і несанкціоноване використання облікових даних іншого користувача в мережі.
Ви можете замовити консультацію або тестування будь-якого рішення від компанії Splunk:
Замовити рішення
Пишіть нам, і ми проконсультуємо Вас, проведемо у Вас пілотний проект, надамо Вам інформацію про всі ціни і терміни виконання робіт та захистимо Вашу інформацію!
Отримати додаткову інформацію Ви можете також за номерами +380 50 705 8224 та +380 67 589 42 70 або по електронній пошті sales@mogroup.com.ua
Даний матеріал підготовлений спеціалістами MO Group на базі публікацій закордонної преси.