使用 IBM QRadar SIEM 进行用户行为分析
增强内部威胁可视化、发现异常行为、轻松识别有风险的用户,并生成富有实际意义的洞察
申请演示
在办公室白板上书写的人
检测凭证泄露、横向移动和其他恶意行为

IBM Security® QRadar® SIEM 用户行为分析 (UBA) 应用程序为您的员工建立了行为模式的基线,因此您可以更好地检测组织面临的威胁。其使用 QRadar SIEM 中现有的数据生成有关用户和风险的新洞察。

通过建立网络内用户的风险概要,您可以更快地对身份盗用、黑客攻击、网络钓鱼或恶意软件等可疑活动做出反应。

了解有关 UBA 的更多信息
UBA 可防范网络钓鱼等

区分正常的用户行为和异常行为,以阻止威胁

41%

41% 的网络感染是由网络钓鱼引起的¹

>50%

50% 以上的网络钓鱼攻击使用鱼叉式网络钓鱼技术2

100%

据 X-Force® 威胁检测软件所观察,每月威胁劫持尝试增加 100%3

评选方式

网络钓鱼已连续第二年成为攻击者冒充他人并利用现有电子邮件对话达到恶意目的的主要感染途径。了解用户的正常行为并快速发现异常对于阻止感染至关重要。您可以使用用户导入向导将用户添加到 UBA 应用程序,并使用 UBA 应用程序将风险评分和统一用户标识添加到 QRadar SIEM。

用户导入向导 

用户导入向导允许您直接从 UBA 应用程序导入用户和用户数据。用户导入向导可帮助您从 LDAP 服务器、Active Directory 服务器、引用表和 CSV 文件导入用户。您也可以使用用户导入向导创建自定义属性。

风险评分 

根据事件的严重性和可靠性,为不同的安全用例分配风险,并使用 QRadar® 系统中现有的事件和流数据,创建风险概要。风险概要可能依赖于简单的规则,例如用户是否访问有害或受损的网站,或者包含使用机器学习的状态分析。 

统一的用户标识 

通过合并 QRadar 用户的不同帐户来建立统一的用户标识。通过从 Active Directory、LDAP、引用表或 CSV 文件导入数据,UBA 应用程序可以获知每个用户的帐户。这还可以帮助您在 UBA 应用程序中合并不同用户名的风险和流量,从而更好地监视用户操作并防止攻击。 

包含的功能
机器学习附加组件

使用扩充了 UBA 应用程序的机器学习附加组件,丰富并深化您的用例,以执行时间序列概要分析和聚类分析。机器学习增强了现有 UBA 应用程序的可视化效果,可显示学习的行为(模型)、当前行为和警报。机器学习使用 QRadar 中的历史数据来创建预测模型和用户正常情况的基线。 

阅读有关机器学习分析的信息

规则和微调

UBA 规则内容是在配置应用程序后安装的,可以在 QRadar 用例管理器应用程序中进行编辑。衡量用户风险的规则将添加到 UBA 规则数据表中。UBA 规则和微调功能允许您确定 QRadar SIEM 将使用哪些参数来保护您的公司和数据。

探索规则和调整

员工单击某个链接、给予凭证或打开附件都可能导致严重的泄露事件 Stephanie “Snow” Carruthers Chief People Hacker IBM Security® X-Force® Red

常见问题解答

是。如果在 QRadar SIEM 控制台上运行,则 UBA 应用程序需要至少 64 GB 或最多 128 GB 的内存。此外,为了充分发挥运行 UBA 应用程序(在启用机器学习应用程序的情况下)的好处,还要考虑部署一个 QRadar SIEM 应用程序主机。

UBA 使用现有的用户接口和数据库直接集成至 QRadar SIEM 中。整个企业的安全数据依然集中存储于一处,分析人员可以调试规则、生成报告并连接数据,这是 SIEM 体验的一部分。

鉴于 UBA 与 QRadar SIEM 和 NDR 共享相同的底层数据库,因此 QRadar SIEM 采集的任何数据源都可以在 UBA 中调取和使用。

UBA 由三个应用程序打包而成 — 1 个 LDAP 应用程序,帮助提取、聚结用户身份信息;1 个 UBA 应用程序,帮助实现数据可视化和分析;1 个机器学习应用程序,提供一个机器学习算法库,存放创建用户活动的行为模型的算法。

异常检测是一种技术,用于识别与正常行为不符、与大多数的数据存在显著差异的异常模式。UBA 根据用户和类似用户(对等)的事件建立正常行为的基线,然后使用该基线来检测异常行为。

风险分数是量度用户行为潜在危害性的数字。UBA 检测到的每个异常行为都会对某个用户的风险分数造成影响。

异常检测是一种技术,用于识别与正常行为不符、与大多数的数据存在显著差异的异常模式。UBA 根据用户和类似用户(对等)的事件建立正常行为的基线,然后使用该基线来检测异常行为。

风险分数是量度用户行为潜在危害性的数字。UBA 检测到的每个异常行为都会对某个用户的风险分数造成影响。

安装后,机器学习算法会从 QRadar 数据库中提取过去 4 周的数据,可能最多在 1 周内构建出正常用户行为的基线模型。

UBA 应用程序可以部署在 IBM Security® QRadar® SaaS、软件或云部署中。

UBA 应用程序免费开放给 QRadar 客户使用。

IBM 支持部门设有专门的团队可帮助客户解决高优先级的问题。UBA 应用程序中包含帮助和支持版块,介绍 LDAP、UBA 和机器学习分析应用程序的使用方法。

与所有 QRadar 应用程序和模块一样,UBA 中的数据也会被静态加密。

文档

搜索有关 QRadar SIEM UBA 应用程序如何帮助您保护宝贵数据和资产免受内部威胁的其他文档。

请查看 QRadar SIEM 用户行为分析 (UBA) 技术文档 
采取下一步行动

首先,预约 QRadar SIEM 演示,了解用户行为分析工具如何保护您的公司免受网络威胁。

申请演示
更多探索方式 文档 支持 社区 合作伙伴 资源