L'application IBM Security® QRadar® SIEM User Behavior Analytics (UBA) établit une base de référence sur les schémas de comportement de vos employés, de sorte que vous puissiez facilement détecter les menaces qui pèsent sur votre organisation. Elle utilise les données existantes de la solution QRadar SIEM pour générer de nouvelles analyses sur les utilisateurs et les risques.
Le fait d'établir les profils de risques des utilisateurs au sein de votre réseau vous permet de réagir plus rapidement en cas d'activité suspecte, qu'il s'agisse de vol d'identité, de piratage, d'hameçonnage ou de logiciel malveillant.
Distinguez le comportement utilisateur normal des anomalies pour enrayer les menaces
41 % des infections de réseau sont causées par le hameçonnage¹
Plus de 50 % des attaques d'hameçonnage utilisent des techniques de harponnage2
Les tentatives de détournement de menaces ont augmenté de 100 % par mois, selon le logiciel de détection des menaces X-Force®3
Pour la deuxième année consécutive, le hameçonnage constitue le principal vecteur d'infection, où un attaquant se fait passer pour une personne en utilisant des conversations par e-mail existantes à des fins nuisibles. Il est essentiel de cerner ce qui relève du comportement normal et de détecter rapidement les anomalies pour enrayer les infections. Vous pouvez ajouter des utilisateurs à l'application UBA à l'aide de l'assistant d'importation ; vous pouvez également ajouter des scores de risque et des identités utilisateur unifiées à QRadar SIEM via l'application UBA.
L'assistant d'importation d'utilisateurs vous permet d'importer des utilisateurs et des données directement depuis l'application UBA. L'importation peut se faire à partir d'un serveur LDAP ou Active Directory, de tables de référence et de fichiers CSV. Vous avez également la possibilité de créer des attributs personnalisés.
Créez des profils en attribuant un risque à différents cas d'utilisation de sécurité, en fonction de la gravité et de la fiabilité de l'incident ainsi que des données d'événements et de flux présentes dans votre système QRadar®. Un profil de risques peut contenir des règles simples, par exemple si un utilisateur visite des sites Web nuisibles ou compromis, ou bien des analyses avec état basées sur l'apprentissage automatique.
Créez des identités utilisateur unifiées en regroupant des comptes disparates pour un même utilisateur QRadar. Grâce à l'importation de données via Active Directory, LDAP, table de référence ou fichier CSV, il est possible d'indiquer à l'application UBA quels comptes appartiennent à chaque utilisateur. Cela vous permet également de regrouper les risques et le trafic des différents noms d'utilisateur au sein de l'application UBA, et ainsi de mieux surveiller les actions des utilisateurs et de prévenir les attaques.
Enrichissez et approfondissez vos cas d'utilisation en profilant et groupant les séries temporelles grâce au module complémentaire d'apprentissage automatique pour l'application UBA. Cet outil enrichit les visualisations de l'application UBA qui présentent les comportements appris (modèles), actuels ainsi que les alertes. Il s'appuie sur les données d'historique de QRadar pour établir des modèles prédictifs et des bases de référence de ce qui constitue un comportement utilisateur normal.
Le contenu des règles UBA est installé après la configuration de l'application et peut être modifié dans l'application QRadar Use Case Manager. Les règles qui mesurent le risque utilisateur sont ajoutées à la table de données de règle UBA. Les fonctions de règles et d'optimisation UBA vous permettent de déterminer les paramètres que QRadar SIEM utilisera pour assurer la protection de votre société et de vos données.
FAQ
Oui. Si elle s'exécute sur une console QRadar SIEM, l'application UBA nécessite entre 64 Go (minimum) et 128 Go (maximum) de mémoire. De plus, il est conseillé de déployer un hôte d'application QRadar SIEM pour bénéficier de tous les avantages liés à l'exécution de l'application UBA avec la fonction d'apprentissage automatique activée.
UBA s'intègre directement à QRadar SIEM par le biais de l'interface utilisateur et de la base de documents existantes. Toutes les données de sécurité à l'échelle de l'entreprise sont conservées dans un emplacement central. Les analystes peuvent ainsi ajuster les règles, générer des rapports et connecter les données dans le cadre de leur expérience SIEM.
Étant donné qu'UBA partage la même base de documents que QRadar SIEM et NDR, toutes les sources de données ingérées par QRadar SIEM peuvent être visualisées et exploitées dans UBA.
UBA est fournie sous la forme d'un groupe de trois applications : une application LDAP qui permet d'ingérer et de fusionner les informations sur l'identité des utilisateurs, une application UBA qui facilite la visualisation des données et les analyses, et une application d'apprentissage automatique qui fournit une bibliothèque d'algorithmes servant à créer des modèles comportementaux à partir des activités des utilisateurs.
La détection des anomalies est une technique servant à identifier des schémas inhabituels qui ne correspondent pas à un comportement normal et qui diffèrent de manière significative de la plupart des données. UBA établit une base de comportement normal à partir des événements d'un utilisateur et d'utilisateurs similaires (pairs), puis utilise cette base de référence pour détecter les comportements anormaux.
Un score de risque est une mesure numérique de la nocivité potentielle de l'activité d'un utilisateur. Chaque comportement anormal détecté par UBA a une incidence sur le score de risque d'un utilisateur.
La détection des anomalies est une technique servant à identifier des schémas inhabituels qui ne correspondent pas à un comportement normal et qui diffèrent de manière significative de la plupart des données. UBA établit une base de comportement normal à partir des événements d'un utilisateur et d'utilisateurs similaires (pairs), puis utilise cette base de référence pour détecter les comportements anormaux.
Un score de risque est une mesure numérique de la nocivité potentielle de l'activité d'un utilisateur. Chaque comportement anormal détecté par UBA a une incidence sur le score de risque d'un utilisateur.
Lors de l'installation, les algorithmes d'apprentissage automatique ingèrent les données des 4 semaines précédentes à partir de la base de documents QRadar. L'établissement des modèles de référence sur le comportement utilisateur normal peut prendre jusqu'à une semaine.
L'application UBA peut être déployée dans les versions IBM Security® QRadar® SaaS, logicielle ou cloud.
L'application UBA est gratuite pour les clients QRadar.
Le support IBM dispose de ressources dédiées qui peuvent vous aider à résoudre les problèmes à priorité élevée. L'application UBA comprend une section d'aide et de support consacrée à l'utilisation des applications LDAP, UBA et d'analyse par apprentissage automatique.
Comme pour toutes les applications et tous les modules QRadar, les données sont chiffrées au repos.
Notes de bas de page
1, 2, 3 Analyse IBM Security X-Force Threat Intelligence Index 2023, Stephanie Carruthers