La aplicación User Behavior Analytics (UBA) de IBM® Security QRadar SIEM define una línea base de los patrones de comportamiento de los empleados para ayudarle a detectar mejor las amenazas para su organización. Utiliza los datos existentes en QRadar SIEM para generar nuevos conocimientos sobre los usuarios y los riesgos.
Al establecer perfiles de riesgo de los usuarios dentro de su red, puede reaccionar más rápidamente ante actividades sospechosas, ya sean por usurpación de identidad, ataque informático, phishing o malware.
Distinga el comportamiento normal de los usuarios de las anomalías para detener las amenazas.
El 41% de las infecciones de redes son causadas por phishing¹
Más del 50% de los ataques de phishing utilizan técnicas de spear phishing2
El software de detección de amenazas X-Force ha observado un aumento del 100% al mes en los intentos de secuestro de hilos3
Por segundo año consecutivo, el phishing fue el principal vector de infección. Es cuando un atacante se hace pasar por otra persona y utiliza conversaciones de correo electrónico existentes con fines maliciosos. Comprender el comportamiento normal de los usuarios y detectar rápidamente las anomalías es fundamental para detener las infecciones. Puede agregar usuarios a la aplicación UBA mediante el asistente para la importación de usuarios. Además, puede utilizar la aplicación UBA para agregar puntuaciones de riesgo e identidades de usuario unificadas a QRadar SIEM.
El asistente para la importación de usuarios le permite importar usuarios y datos de usuarios directamente desde la aplicación UBA. EL asistente le ayuda a importar usuarios de un servidor LDAP, un servidor de Active Directory, tablas de referencia y archivos CSV. También puede usarlo para crear atributos personalizados.
Cree perfiles de riesgo asignando puntuaciones de riesgo a diferentes casos prácticos de seguridad según la gravedad y la fiabilidad de la incidencia, y utilizando los datos de eventos y flujos existentes en su sistema QRadar. Un perfil de riesgo puede basarse en reglas simples, como si un usuario visita sitios web maliciosos o en riesgo, o bien puede incluir análisis de estado que utilizan el aprendizaje automático.
Cree identidades de usuario unificadas combinando diferentes cuentas de un usuario de QRadar. Al importar datos de Active Directory, LDAP, tablas de referencia o archivos CSV, la aplicación UBA puede saber qué cuentas pertenecen a cada usuario. Esto también le ayuda a combinar el riesgo y el tráfico de los diferentes nombres de usuario en la aplicación UBA, lo que le permite supervisar mejor las acciones de los usuarios y prevenir ataques.
Enriquezca y amplíe sus casos de uso para la agrupación en clúster y la creación de perfiles de series temporales mediante el complemento de aprendizaje automático, que complementa la aplicación UBA. El aprendizaje automático mejora las visualizaciones existentes de la aplicación UBA, las cuales muestran el comportamiento aprendido (modelos), el comportamiento actual y las alertas. Asimismo, utiliza datos históricos de QRadar para crear modelos predictivos y líneas base del comportamiento normal de los usuarios.
El contenido de las reglas de UBA se instala después de configurar la aplicación y se puede editar en la aplicación de gestión de casos de uso de QRadar. Las reglas que miden el riesgo del usuario se agregan a la tabla de datos de reglas de UBA. Las reglas y los ajustes de UBA le permiten determinar los parámetros que utilizará QRadar SIEM para proteger su empresa y sus datos.
Preguntas frecuentes
Sí. Si se ejecuta en una consola QRadar SIEM, la aplicación UBA requiere un mínimo de 64 GB o hasta 128 GB de memoria. Además, considere la implementación de un host de aplicaciones QRadar SIEM para acceder a todos los beneficios de ejecutar la aplicación UBA con la aplicación de aprendizaje automático habilitada.
UBA se integra directamente en la solución QRadar SIEM a través de la interfaz de usuario y la base de datos existentes de QRadar. Todos los datos de seguridad de la empresa permanecen en una ubicación central y los analistas pueden ajustar las reglas, generar informes y conectar los datos como parte de su experiencia con la solución SIEM.
Dado que UBA comparte la misma base de datos subyacente que QRadar SIEM y NDR, cualquier origen de datos consumido por QRadar SIEM puede encontrarse y aprovecharse en UBA.
UBA se presenta como una colección de tres aplicaciones: una aplicación LDAP que ayuda a consumir y fusionar la información de identidad de los usuarios, una aplicación UBA que ayuda a visualizar datos y análisis, y una aplicación de aprendizaje automático que proporciona una biblioteca de algoritmos de aprendizaje automático usados para crear modelos de comportamiento de las actividades de los usuarios.
La detección de anomalías es una técnica utilizada para identificar patrones inusuales que no se ajustan al comportamiento normal y difieren significativamente de la mayoría de los datos. UBA crea una línea base del comportamiento normal a partir de los eventos de un usuario y de usuarios similares (pares), y luego usa esa línea base para detectar comportamientos anómalos.
La puntuación de riesgo es la medida numérica de la nocividad potencial de la actividad de un usuario. Cada comportamiento anómalo detectado por UBA afecta a la puntuación de riesgo de un usuario individual.
La detección de anomalías es una técnica utilizada para identificar patrones inusuales que no se ajustan al comportamiento normal y difieren significativamente de la mayoría de los datos. UBA crea una línea base del comportamiento normal a partir de los eventos de un usuario y de usuarios similares (pares), y luego usa esa línea base para detectar comportamientos anómalos.
La puntuación de riesgo es la medida numérica de la nocividad potencial de la actividad de un usuario. Cada comportamiento anómalo detectado por UBA afecta a la puntuación de riesgo de un usuario individual.
Tras la instalación, los algoritmos de aprendizaje automático consumen los datos de las últimas 4 semanas de la base de datos de QRadar y pueden tardar hasta 1 semana en crear los modelos de línea base del comportamiento normal del usuario.
La aplicación UBA se puede implementar en IBM® Security QRadar como SaaS, software o implementación de la nube.
La aplicación UBA se ofrece a los clientes de QRadar sin coste adicional.
El soporte de IBM cuenta con recursos dedicados que pueden ayudarle con los problemas de prioridad alta. La aplicación UBA incluye una sección de ayuda y soporte para utilizar las aplicaciones LDAP, UBA y de análisis de aprendizaje automático.
Como en todas las aplicaciones y módulos de QRadar, los datos se cifran en reposo.
Notas a pie de página
1, 2, 3 Índice de IBM Security X-Force Threat Intelligence de 2023, Stephanie Carruthers