IBM QRadar SIEM User Behavior Analytics (UBA) establece una línea base de patrones de comportamiento de sus empleados, para que pueda detectar mejor las amenazas a su organización. Utiliza los datos existentes en QRadar SIEM para generar nuevos conocimientos sobre los usuarios y los riesgos.
Al establecer perfiles de riesgo de los usuarios dentro de su red, puede reaccionar más rápidamente ante actividades sospechosas, ya sean por usurpación de identidad, ataque informático, phishing o malware.
Distinga el comportamiento normal de los usuarios de las anomalías para detener las amenazas.
El phishing es la causa del 41 % de las infecciones de redes.1
Más del 50 % de los ataques de phishing utilizan técnicas de spear phishing.2
El software de detección de amenazas X-Force ha observado un incremento mensual del 100 % en los intentos de secuestro de hilos.3
Por segundo año consecutivo, el phishing fue el principal vector de infección. Es cuando un atacante se hace pasar por otra persona y utiliza conversaciones de correo electrónico existentes con fines maliciosos. Comprender el comportamiento normal de los usuarios y detectar rápidamente las anomalías es fundamental para detener las infecciones. Puede agregar usuarios con el asistente de importación de usuarios y añadir puntuación de riesgos e identidades de usuario unificadas a QRadar SIEM con UBA.
El asistente para la importación de usuarios le permite importar usuarios y datos de usuarios directamente desde la aplicación UBA. EL asistente le ayuda a importar usuarios de un servidor LDAP, un servidor de Active Directory, tablas de referencia y archivos CSV. También puede usarlo para crear atributos personalizados.
Cree perfiles de riesgo asignando puntuaciones de riesgo a diferentes casos de uso de seguridad según la gravedad y la fiabilidad de la incidencia, y utilizando los datos de eventos y flujos existentes en su sistema QRadar. Un perfil de riesgo puede basarse en reglas simples, como si un usuario visita sitios web maliciosos o en riesgo, o bien puede incluir análisis de estado que utilizan machine learning.
Cree identidades de usuario unificadas combinando diferentes cuentas de un usuario de QRadar. Al importar datos de Active Directory, LDAP, tablas de referencia o archivos CSV, la aplicación UBA puede saber qué cuentas pertenecen a cada usuario. Esto también le ayuda a combinar los datos de riesgo y tráfico entre diferentes nombres de usuario en la aplicación UBA, para que pueda monitorizar mejor las acciones de los usuarios y prevenir ataques.
Enriquezca y amplíe sus casos de uso para la agrupación en clúster y la creación de perfiles de series temporales mediante el complemento de aprendizaje automático, que complementa la aplicación UBA. El aprendizaje automático mejora las visualizaciones existentes de la aplicación UBA, las cuales muestran el comportamiento aprendido (modelos), el comportamiento actual y las alertas. Asimismo, utiliza datos históricos de QRadar para crear modelos predictivos y líneas base del comportamiento normal de los usuarios.
El contenido de las reglas de UBA se instala después de configurar la aplicación y se puede editar en la aplicación de gestión de casos de uso de QRadar. Las reglas que miden el riesgo del usuario se agregan a la tabla de datos de reglas de UBA. Las reglas y los ajustes de UBA le permiten determinar los parámetros que utilizará QRadar SIEM para proteger su empresa y sus datos.
Sí. Si se ejecuta en una consola QRadar SIEM, la aplicación UBA requiere un mínimo de 64 GB o hasta 128 GB de memoria. Además, considere la implementación de un host de aplicaciones QRadar SIEM para acceder a todos los beneficios de ejecutar la aplicación UBA con la aplicación de aprendizaje automático habilitada.
UBA se integra directamente en la solución QRadar SIEM a través de la interfaz de usuario y la base de datos existentes de QRadar. Todos los datos de seguridad de la empresa permanecen en una ubicación central y los analistas pueden ajustar las reglas, generar informes y conectar los datos como parte de su experiencia con la solución SIEM.
Dado que UBA comparte la misma base de datos subyacente que QRadar SIEM y NDR, cualquier origen de datos consumido por QRadar SIEM puede encontrarse y aprovecharse en UBA.
UBA se presenta como una colección de tres aplicaciones: una aplicación LDAP que ayuda a consumir y fusionar la información de identidad de los usuarios, una aplicación UBA que ayuda a visualizar datos y análisis, y una aplicación de aprendizaje automático que proporciona una biblioteca de algoritmos de aprendizaje automático usados para crear modelos de comportamiento de las actividades de los usuarios.
La detección de anomalías es una técnica utilizada para identificar patrones inusuales que no se ajustan al comportamiento normal y difieren significativamente de la mayoría de los datos. UBA crea una línea base del comportamiento normal a partir de los eventos de un usuario y de usuarios similares (pares), y luego usa esa línea base para detectar comportamientos anómalos.
La puntuación de riesgo es la medida numérica de la nocividad potencial de la actividad de un usuario. Cada comportamiento anómalo detectado por UBA afecta a la puntuación de riesgo de un usuario individual.
Tras la instalación, los algoritmos de aprendizaje automático consumen los datos de las últimas 4 semanas de la base de datos de QRadar y pueden tardar hasta 1 semana en crear los modelos de línea base del comportamiento normal del usuario.
La aplicación UBA se puede implementar en IBM Security QRadar como SaaS, software o implementación de la nube.
La aplicación UBA se ofrece a los clientes de QRadar sin coste adicional.
Como en todas las aplicaciones y módulos de QRadar, los datos se cifran en reposo.
Explore documentación adicional sobre cómo la aplicación UBA de QRadar SIEM le ayuda a proteger sus datos y activos valiosos de las amenazas internas.
Solicite una demostración de QRadar SIEM y descubra cómo la herramienta de análisis del comportamiento de los usuarios puede proteger a su empresa de las ciberamenazas.