常见问题解答

获取有关本产品的最常见问题的答案。

FAQ

开始使用本产品

安装 UBA 是否有先决条件?

是的。如果要在 QRadar 控制台上运行,那么 UBA 应用需要最少 64 GB、最多 128 GB 的内存。此外,可考虑部署应用主机,以实现启用了机器学习能力的 UBA 应用的全部优势。

如何将组织的数据导入 UBA?

UBA 直接集成到 QRadar Security Analytics 解决方案中,因此可利用现有的 QRadar 用户界面和数据库。所有企业范围的安全数据都可以保留在一个中心位置,分析人员可以调整规则,生成报告和连接数据,而不必学习新系统。

UBA 是否可与其他工具集成?

由于 UBA 与 QRadar 共享相同的底层数据库,因此在 QRadar 中采集的任何数据源(包括 IAM)都可供 UBA 使用。

什么是 UBA 架构?

UBA 打包了 3 个应用 - 1 个 LDAP 应用,帮助采集与合并用户身份信息;1 个 UBA 应用,帮助直观呈现数据和分析结果;1 个 ML 应用,提供机器学习算法库,用于创建用户活动的行为模型。

什么是异常检测?

异常检测方法用于发现不符合预期行为并与大多数数据明显不一致的异常模式。

什么是风险分数?

风险分数是用于对用户活动的潜在危害性进行衡量的数字指标。由 UBA 检测到的每个异常行为都会影响单个用户的风险分数。

机器学习 (ML) 模型训练要花多长时间?

机器学习算法从共享的 QRadar 数据库中采集过去 4 周的数据,通常需要 3 到 24 小时构建正常行为的模型。

UBA 是否使用 IBM Watson?

虽然 UBA 并不直接利用 Watson for Cybersecurity API,但它可通过与 QRadar Advisor with Watson 集成,获得深入洞察,自动完成对用户活动的调查。

是否可在 QRadar on Cloud 中部署 UBA?

UBA 应用可部署到本地 QRadar、QRadar on Cloud、任何 IaaS 或混合部署中。

定价

UBA 应用的成本是多少?

QRadar 客户可免费使用 UBA 应用。

我是否需要升级 QRadar 部署才能使用 UBA?

客户无需升级 QRadar 部署,只要满足最低系统需求即可。

支持

IBM 是否正式支持 UBA?

IBM 支持部门为 UBA 应用提供完整支持。

我可以在哪里获得有关 UBA 的帮助?

IBM 支持部门拥有专门的资源,可帮助解决高优先级问题。UBA 应用包含“帮助和支持”部分,提供有关 UBA 应用、LDAP 应用和机器学习分析应用的使用说明

安全

IBM 如何在 UBA 中保护用户信息?

与所有 QRadar 应用和模块一样,数据在静态存储时都加密。

其他常见问题

什么是内部威胁?

内部威胁是指对组织的安全或对内部的数据构成的威胁。内部威胁通常由员工或前雇员造成,但也可能来自第三方,包括承包商、客户或凭证被盗的人员。

什么是用户行为分析 (UBA)?

用户行为分析 (UBA) 是指跟踪、收集和评估用户数据和活动。UBA 技术分析从 SIEM 系统收集的历史数据日志,以发现用户行为(无论是正常行为还是恶意行为)所产生的流量的模式。

什么是机器学习 (ML)?

机器学习是人工智能的子集,它使系统不必明确编程,即可自动根据经验不断学习,持续改进。

机器学习如何应用于用户行为?

可使用机器学习算法,根据用户过去的正常活动,学习用户行为的模式;如果检测到任何偏离正常的行为,则会进行分类并标记为异常行为。

用户行为分析有哪些主要用例?

UBA 的一些主要用例包括用户发动的恶意行为、偏离正常角色或对等组的活动、数据渗漏和凭证被盗

为何要将 UBA 与 SIEM 一起使用?

UBA 分析每个员工的活动所生成的所有事件、日志和数据流,从而使安全分析人员能够了解任何个人可能参与的恶意或可疑活动。

可在哪里学习如何在环境中使用 UBA?

安全学习学院提供免费的课程,包括面向 QRadar 管理员和分析人员的学习途径。

我可以在哪里尝试 UBA 的动手实验演示?

IBM 安全学习学院提供有指导的实验室环境,用于演示 UBA 如何帮助分析人员检测恶意用户行为。该实验室还完整执行调查流程,演示与 QRadar Advisor with Watson 的集成。