QRadar User Entity Behavior Analytics

L'application IBM® QRadar® User Entity Behavior Analytics vous aide à déterminer les profils de risque des utilisateurs et des entités au sein de votre réseau et à prendre des mesures lorsque l'application vous signale un comportement menaçant.

L'application QRadar User Entity Behavior Analytics (UEBA) est un outil permettant de détecter les menaces internes dans votre organisation. Il s'appuie sur le cadre de l'application pour utiliser les données existantes sur votre site QRadar afin de générer de nouvelles informations sur les utilisateurs et les risques liés aux entités. UEBA ajoute deux fonctions majeures à QRadar: le risque de l'utilisateur et de l'entité, et les identités unifiées de l'utilisateur.

Le profilage du risque est réalisé par l'affectation d'un niveau de risque à différents cas d'utilisation de sécurité. Il peut s'agir, par exemple, de simples règles et de contrôles visant à détecter les accès aux sites web sur liste noire ou d'analyses plus avancées exploitant l'apprentissage machine. Un niveau de risque est affecté à chaque cas d'utilisation en fonction de la gravité de l'incident détecté et de la fiabilité de cette détection. UEBA utilise les données d'événement et de flux existantes dans votre système QRadar pour générer ces informations et profiler les risques des utilisateurs.

UEBA utilise trois types de trafic qui enrichissent UEBA et permettent à d'autres cas d'utilisation de profiler le risque. Les trois types sont les suivants :
  1. Trafic en lien avec les accès, l'authentification et les changements de compte.
  2. Comportement de l'utilisateur sur le réseau (équipements tels que serveurs proxy, pare-feux, adresses IP et VPN).
  3. Les journaux de noeud final et d'application, tels que Windows ou Linux®, et les applications SaaS .

L'unification de l'identité des utilisateurs est accomplie par la combinaison des comptes disparates de chaque utilisateur dans QRadar. En important des données à partir d'un Active Directory, d'un serveur LDAP, d'une table de référence ou d'un fichier CSV, UEBA peut apprendre quels comptes appartiennent à une identité utilisateur. Cela permet de combiner les risques et le trafic entre les différents noms d'utilisateur dans UEBA.

Machine Learning (ML app) est un outil complémentaire qui étend l'application UEBA . Elle autorise une analyse et une identification plus détaillée des cas d'utilisation, avec le profilage et le regroupement des données de séries temporelles. Il est installé à partir de l'application UEBA , sur la page des paramètres Machine Learning . ML app ajoute des visualisations à l'application UEBA existante qui montrent le comportement appris (modèles), le comportement en cours et les alertes. Les modèles peuvent utiliser plus de quatre semaines de données historiques collectées dans QRadar pour établir un modèle prédictif et la référence (ou ligne de base) d'un comportement considéré comme normal pour un utilisateur.

Pour plus d'informations sur l'utilisation de l' ML app, voir ApplicationMachine Learning Analytics.

Importation d'utilisateurs et de données utilisateur

Vous pouvez importer des utilisateurs et des données utilisateur à l'aide de l'assistant prévu à cet effet. Ce dernier vous permet d'importer des utilisateurs à partir d'un serveur LDAP, d'un serveur Active Directory, de tables de référence et de fichiers CSV. Vous pouvez également créer des attributs personnalisés à l'aide de l'assistant d'importation d'utilisateur

Pour plus d'informations sur l'importation de données utilisateur à l'aide de l'assistant d'importation d'utilisateur, voir Configuration de l'importation d'utilisateur.

Règles et réglages

Prenez en compte les informations importantes suivantes sur les règles et l'optimisation dans UEBA.
  • Le contenu de la règle UEBA est installé après la configuration de l'application.
  • Les règles doivent être éditées dans l'application QRadar Use Case Manager
  • Les règles qui génèrent un score de risque pour les utilisateurs sont ajoutées à la table UBA : Rule Data. Les blocs de construction et les règles qui ne génèrent pas de score de risque ne sont pas ajoutées.
  • Une tâche d'interrogation est exécutée : elle ajoute de nouvelles règles créées par les utilisateurs, dont la description d'événement contient 'senseValue=#'.
  • Veillez à ne pas éditer les règles existantes. A la place, effectuez des copies et assurez-vous de modifier le nom de l'événement eventname.

Pour plus d'informations, voir Règles et réglages de l'application UEBA.

Conformité du navigateur

UEBA est pris en charge sous Google Chrome et Mozilla Firefox.
Remarque: Pour optimiser votre expérience avec UEBA, vous devez effectuer l'une des opérations suivantes:
  • Désactivez le logiciel de blocage d'incrustation pour votre navigateur.
  • Configurez votre navigateur pour autoriser les exceptions pour les fenêtres en incrustation provenant de l'adresse IP QRadar Console