Как работает UEBA-система для выявления аномалий в поведении пользователей и сущностей?

UEBA-система (User and Entity Behavior Analytics) анализирует поведение пользователей и других сущностей в информационной системе, чтобы выявлять аномалии, которые могут свидетельствовать о наличии киберугроз или несанкционированных действий. www.securityvision.ru

Процесс работы UEBA включает несколько этапов: www.microsoft.com

1. Сбор данных. www.microsoft.com UEBA собирает информацию о пользователях и организациях из всех подключённых источников данных в сети организации. www.microsoft.com Данные пользователя могут включать действия по входу в систему, местоположение и шаблоны доступа к данным, а данные объекта — журналы сетевых устройств, серверов, конечных точек, приложений и других дополнительных служб. www.microsoft.com
2. Моделирование и базовое планирование. www.microsoft.com UEBA анализирует собранные данные и использует их для определения базовых показателей или типичных профилей поведения для каждого пользователя и организации. www.microsoft.com Затем базовые данные используются для создания динамических поведенческих моделей, которые непрерывно обучаются и адаптируются с течением времени на основе поступающих данных. www.microsoft.com
3. Обнаружение аномалий. www.microsoft.com Используя базовые показатели в качестве ориентира для типичного поведения, UEBA продолжает отслеживать активность пользователей и организаций в режиме реального времени. www.microsoft.com Система обнаруживает аномальные действия, которые отклоняются от типичного базового поведения, например, инициирование передачи аномально большого объёма данных, что приводит к срабатыванию оповещения. www.microsoft.com
4. Оповещение и расследование. www.microsoft.com Оповещения, содержащие сведения о поведении пользователя, типе аномалии и потенциальном уровне риска, отправляются в центр безопасности (SOC). www.microsoft.com Группа SOC получает информацию и определяет, следует ли продолжать расследование, исходя из поведения, контекста и приоритета риска. www.microsoft.com

UEBA-системы могут строить модели поведения целых групп пользователей и определять отклонения каждого из них от общей модели. www.anti-malware.ru