Tenha maior visibilidade das ameaças internas, descubra comportamentos anômalos, identifique rapidamente usuários de risco e gere insights significativos
O IBM QRadar SIEM User Behavior Analytics (UBA) estabelece uma referência de padrões de comportamento para seus funcionários, para que você possa detectar melhor as ameaças à sua organização. Ele utiliza os dados que já existem no QRadar SIEM para gerar novos insights sobre usuários e riscos.
Estabelecendo os perfis de risco para usuários dentro da sua rede, você consegue reagir mais rapidamente às atividades suspeitas, seja de roubo de identidade, hacking, phishing ou malware.
Faça a distinção entre o comportamento normal do usuário e as anomalias para impedir as ameaças
41% das infecções da rede são causadas por phishing.1
Mais de 50% dos ataques de phishing usam técnicas de spear phishing2
Houve um aumento de 100% ao mês nas tentativas de ameaças de sequestro, conforme observado pelo software de detecção de ameaças X-Force.3
Pelo segundo ano consecutivo, o phishing foi o principal vetor de infecção, onde o invasor se faz passar por alguém e utiliza conversas de e-mail existentes para fins nefastos. Entender o comportamento normal dos usuários e perceber rapidamente as anomalias é crítico para impedir infecções. É possível incluir usuários no assistente de importação de usuários e adicionar pontuação de risco e identidades de usuário unificadas ao QRadar SIEM com o UBA.
Com o assistente de importação de usuário você pode importar usuários e dados do usuário diretamente do aplicativo UBA. O assistente de importação ajuda a importar usuários de um servidor LDAP, um servidor do Active Directory, tabelas de referência e arquivos CSV. Você pode criar também atributos customizados com o assistente de importação de usuários.
Crie perfis de risco atribuindo riscos a diferentes casos de uso de segurança, dependendo da gravidade e da confiabilidade do incidente e utilizando os eventos existentes e dados de fluxo em seu sistema QRadar. Um perfil de risco pode utilizar regras simples, como se o usuário visita sites prejudiciais ou comprometidos, ou incluir análise de dados significativa que faz uso do aprendizado de máquina.
Crie identidades de usuários unificadas combinando contas díspares para um usuário do QRadar. Ao importar dados do Active Directory, LDAP, tabela de referência ou arquivo CSV, o aplicativo UBA pode aprender quais contas pertencem a cada usuário. Isso ajuda também a combinar dados de risco e tráfego entre os diferentes nomes de usuário no aplicativo UBA, para que você possa monitorar melhor as ações dos usuários e evitar ataques.
Enriqueça e aprofunde seus casos de uso para executar a criação de perfil de série temporal e clustering com o complemento de aprendizado de máquina que aumenta o aplicativo UBA. O aprendizado de máquina é adicionado às visualizações existentes do aplicativo UBA que mostram o comportamento aprendido (modelos), o comportamento atual e alertas. O aprendizado de máquina usa dados históricos no QRadar para criar modelos preditivos e referências do comportamento normal de um usuário.
O conteúdo da regra da UBA é instalado depois que o aplicativo é configurado e pode ser editado no aplicativo gerenciador de casos de uso do QRadar. As regras que medem o risco do usuário são adicionadas à tabela de dados da regra da UBA. As regras e os recursos de ajuste da UBA permitem determinar os parâmetros que o QRadar SIEM usará para manter sua empresa e seus dados protegidos.
Dúvidas frequentes
Sim. Se a execução estiver sendo realizada em um console do QRadar SIEM, o aplicativo UBA exige no mínimo 64 GB ou até 128 GB de memória. Além disso, considere a possibilidade de implementar um host de aplicativo para ter acesso a todos os benefícios de executar o aplicativo UBA com o aplicativo de aprendizado de máquina ativado.
O UBA integra-se diretamente ao QRadar SIEM usando a interface com o usuário e o banco de dados existentes. Todos os dados de segurança de toda a empresa permanecem em um local central e os analistas podem ajustar regras, gerar relatórios e conectar dados como parte da experiência do SIEM.
Como o UBA compartilha o mesmo banco de dados subjacente que o QRadar SIEM e o NDR, toda origem de dados ingerida pelo QRadar SIEM pode ser apresentada e aproveitada no UBA.
O pacote UBA é uma coleção de três aplicativos, um aplicativo LDAP para ingestão e união de informações de identidade do usuário, um aplicativo UBA para visualizar dados e analytics de dados e um aplicativo de aprendizado de máquina que fornece uma biblioteca de algoritmos de aprendizado de máquina para criar modelos comportamentais das atividades do usuário.
A detecção de anomalias é uma técnica usada para identificar padrões incomuns que não estão em conformidade com o comportamento normal e diferem muito da maioria dos dados. O UBA constrói uma referência de comportamento normal com base nos eventos de um usuário e de usuários semelhantes (pares) e usa essa referência para detectar comportamentos anômalos.
Pontuação de risco é a medida numérica do potencial nocivo da atividade do usuário. Todo comportamento anômalo detectado pelo UBA impacta a pontuação de risco do indivíduo.
Pontuação de risco é a medida numérica do potencial nocivo da atividade do usuário. Todo comportamento anômalo detectado pelo UBA impacta a pontuação de risco do indivíduo.
Após a instalação, os algoritmos de aprendizado de máquina ingerem os dados das quatro semanas anteriores do banco de dados do QRadar e podem demorar até 1 semana para construir os modelos de referência do comportamento normal do usuário.
O aplicativo UBA pode ser implementado no IBM Security QRadar SaaS, software ou implementações na nuvem.
O aplicativo UBA é oferecido aos clientes do QRadar sem custo adicional.
Assim como nos aplicativos e módulos do QRadar, os dados são criptografados quando inativos.
Notas de rodapé
1, 2, 3 IBM X-Force Threat Intelligence Index 2023 Insight, Stephanie Carruthers