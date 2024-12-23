Analitik Perilaku Pengguna (UBA) IBM® QRadar SIEM menetapkan garis dasar pola perilaku untuk karyawan Anda, agar Anda dapat mendeteksi ancaman terhadap organisasi dengan lebih baik. Aplikasi ini menggunakan data yang ada di QRadar SIEM untuk menghasilkan insight baru seputar pengguna dan risiko.
Dengan menetapkan profil risiko untuk pengguna di dalam jaringan, Anda dapat bereaksi lebih cepat terhadap aktivitas mencurigakan, baik dari pencurian identitas, peretasan, phishing, atau malware.
Membedakan perilaku pengguna normal dari anomali untuk menghentikan ancaman
41% infeksi jaringan disebabkan oleh phishing.1
Lebih dari 50% serangan phishing menggunakan teknik phishing tombak.2
Terdapat peningkatan 100% per bulan dalam upaya pembajakan ancaman, menurut pengamatan perangkat lunak pendeteksi ancaman X-Force.3
Selama dua tahun berturut-turut, phishing adalah vektor infeksi utama di mana penyerang menyamar sebagai seseorang dan menggunakan percakapan email yang ada untuk tujuan jahat. Memahami perilaku normal pengguna dan mengetahui anomali dengan cepat sangat penting untuk menghentikan infeksi. Anda dapat menambahkan pengguna dengan panduan impor pengguna, dan menambahkan penilaian risiko dan identitas pengguna terpadu ke QRadar SIEM dengan UBA.
Panduan impor pengguna memungkinkan Anda mengimpor pengguna dan data pengguna langsung dari aplikasi UBA. Panduan impor pengguna membantu Anda mengimpor pengguna dari server LDAP, server active directory, tabel referensi, dan file CSV. Anda juga dapat membuat atribut khusus dengan panduan impor pengguna.
Buat profil risiko dengan menetapkan risiko ke berbagai contoh penggunaan keamanan, bergantung pada tingkat keparahan dan keandalan insiden dan dengan menggunakan data peristiwa dan aliran yang ada di sistem QRadar Anda. Profil risiko mungkin bergantung pada aturan sederhana, misalnya apakah pengguna mengunjungi situs web yang berbahaya atau disusupi, atau menyertakan analitik stateful yang menggunakan machine learning.
Bangun identitas pengguna terpadu dengan menggabungkan akun berbeda untuk pengguna QRadar. Dengan mengimpor data dari active directory, LDAP, tabel referensi, atau file CSV, aplikasi UBA dapat mempelajari akun apa yang dimiliki setiap pengguna. Data ini juga membantu Anda menggabungkan data risiko dan lalu lintas di berbagai nama pengguna di aplikasi UBA, sehingga Anda dapat memantau tindakan pengguna dan mencegah serangan dengan lebih baik.
Perkaya dan perdalam kasus penggunaan Anda untuk melakukan pembuatan profil dan pengelompokan deret waktu dengan add-on pembelajaran mesin yang melengkapi aplikasi UBA. Pembelajaran mesin menambah visualisasi aplikasi UBA saat ini yang menunjukkan perilaku yang dipelajari (model), perilaku saat ini, dan peringatan. Pembelajaran mesin menggunakan data historis di QRadar untuk membuat model prediktif dan garis dasar mengenai apa yang normal bagi pengguna.
Konten aturan UBA dipasang setelah aplikasi dikonfigurasi dan dapat diedit di aplikasi case manager penggunaan QRadar. Aturan yang mengukur risiko pengguna ditambahkan ke tabel data aturan UBA. Fitur aturan UBA dan penyesuaian memungkinkan Anda untuk menentukan parameter yang akan digunakan QRadar SIEM guna melindungi perusahaan dan data Anda.
Ya. Jika berjalan di konsol QRadar SIEM, aplikasi UBA membutuhkan memori minimal 64 GB atau hingga 128 GB. Selain itu, pertimbangkan penyebaran host aplikasi QRadar SIEM untuk mengakses manfaat penuh dari menjalankan aplikasi UBA dengan aplikasi pembelajaran mesin diaktifkan.
UBA terintegrasi langsung ke QRadar SIEM dengan menggunakan antarmuka pengguna dan basis data yang ada. Semua data keamanan seluruh perusahaan tetap berada di satu lokasi pusat dan analis dapat menyesuaikan aturan, membuat laporan, dan menghubungkan data sebagai bagian dari pengalaman SIEM mereka.
Karena UBA berbagi basis data dasar yang sama dengan QRadar SIEM dan NDR, sumber data apa pun yang diserap oleh QRadar SIEM dapat ditampilkan dan dimanfaatkan di UBA.
UBA dikemas sebagai kumpulan 3 aplikasi—aplikasi LDAP yang membantu mencerna dan menyatukan informasi identitas pengguna, aplikasi UBA yang membantu memvisualisasikan data dan analitik, dan aplikasi pembelajaran mesin yang menyediakan pustaka algoritme pembelajaran mesin yang digunakan untuk menciptakan model perilaku aktivitas pengguna.
Deteksi anomali adalah teknik yang digunakan untuk mengidentifikasi pola tidak biasa yang tidak sesuai dengan perilaku normal dan berbeda secara signifikan dari sebagian besar data. UBA membangun garis dasar perilaku normal dari peristiwa pengguna dan pengguna serupa (rekan), lalu menggunakan garis dasar tersebut untuk mendeteksi perilaku anomali.
Skor risiko adalah ukuran numerik dari potensi bahaya aktivitas pengguna. Setiap perilaku anomali yang terdeteksi oleh UBA berdampak pada skor risiko pengguna individual.
Setelah penginstalan, algoritme pembelajaran mesin menyerap data 4 minggu sebelumnya dari basis data QRadar dan dapat memakan waktu hingga 1 minggu untuk membangun model dasar perilaku pengguna normal.
Aplikasi UBA dapat diterapkan di IBM Security QRadar SaaS, perangkat lunak, atau penerapan cloud.
Aplikasi UBA ditawarkan kepada klien QRadar tanpa biaya tambahan.
Seperti semua aplikasi dan modul QRadar, data dienkripsi saat tidak digunakan.
