Analitica del comportamento degli utenti con IBM QRadar SIEM
Ottieni più visibilità sulle minacce dall'interno, scopri comportamenti anomali, identifica rapidamente gli utenti a rischio e genera conoscenza significativa
Richiedi una demo
Persona che scrive su una lavagna bianca in ufficio
Rileva credenziali compromesse, movimento laterale e altri comportamenti dannosi

L'applicazione User Behavior Analytics (UBA) di IBM Security QRadar SIEM definisce una base di modelli di comportamento per i tuoi dipendenti, in modo da poter rilevare meglio le minacce alla tua organizzazione. Utilizza dati preesistenti in QRadar SIEM per generare nuova conoscenza su utenti e rischio.

Stabilendo i profili di rischio degli utenti all'interno della rete, potrai reagire più rapidamente alle attività sospette, che si tratti di furto d'identità, hacking, phishing o malware.

Maggiori informazioni su UBA
UBA protegge dal phishing e non solo

Distingui il normale comportamento dell'utente dalle anomalie per interrompere le minacce

41%

Il 41% delle infezioni di rete è causato dal phishing¹

>50%

Più della metà degli attacchi di phishing ha utilizza tecniche di spear phishing2

100%

Si è rilevato un un aumento del 100% al mese dei tentativi di hijacking delle minacce, come osservato dal software di rilevazione delle minacce X-Force®3

Come funziona

Per il secondo anno consecutivo, il phishing è stato il principale vettore di infezione, in cui l'autore dell'attacco si spaccia per qualcun altro e utilizza le conversazioni e-mail esistenti per scopi dannosi. Capire il comportamento normale degli utenti e individuare rapidamente le anomalie è fondamentale per bloccare le infezioni. È possibile aggiungere utenti all'app UBA con la procedura guidata di importazione degli utenti e aggiungere il punteggio di rischio e le identità utente unificate a QRadar SIEM con l'app UBA.

Procedura guidata di importazione degli utenti 

La procedura guidata di importazione degli utenti consente di importare utenti e dati utente direttamente dall'app UBA. Tale procedura consente di importare utenti da un server LDAP, un Active Directory server, tabelle di riferimento e file CSV. È inoltre possibile creare attributi personalizzati con la procedura guidata di importazione degli utenti.

Punteggio di rischio 

Crea profili di rischio assegnando il rischio a diversi casi d'uso della sicurezza, a seconda della severità e dell'affidabilità dell'incidente e utilizzando i dati di eventi e flussi esistenti nel sistema QRadar®. Un profilo di rischio può basarsi su semplici regole, ad esempio se un utente visita siti web dannosi o compromessi, o includere analisi statiche che utilizzano l'apprendimento automatico.  

Identità utente unificate 

Crea identità utente unificate combinando account diversi per un utente QRadar. Importando i dati da un'Active Directory, da LDAP, da una tabella di riferimento o da un file CSV, l'app UBA può apprendere quali account appartengono a ciascun utente. Ciò consente anche di combinare il rischio e il traffico tra i diversi nomi utente dell'app UBA, in modo da poter monitorare meglio le azioni degli utenti e impedire gli attacchi.  

Cosa è incluso
Componente aggiuntivo di apprendimento automatico

Arricchisci e approfondisci i tuoi casi d'uso per eseguire la creazione di profili e il clustering delle serie temporali con il componente aggiuntivo per l'apprendimento automatico, che integra l'app UBA. L'apprendimento automatico si aggiunge alle visualizzazioni esistenti dell'app UBA che mostrano il comportamento appreso (modelli), il comportamento attuale e gli avvisi. L'apprendimento automatico utilizza i dati storici di QRadar per creare modelli predittivi e linee di base di ciò che è normale per un utente.  

Leggi le informazioni sull'analitica dell'apprendimento automatico

Regole e ottimizzazione

Il contenuto delle regole UBA viene installato dopo la configurazione dell'app e può essere modificato nell'app di gestione dei casi d'uso QRadar. Le regole che misurano il rischio dell'utente vengono aggiunte alla tabella dati delle regole UBA. Le regole UBA e le funzioni di ottimizzazione consentono di determinare i parametri che QRadar SIEM utilizzerà per mantenere protetti l'azienda e i dati.

Esplora le regole e l'ottimizzazione

Un dipendente che apre un collegamento, fornisce credenziali o apre un allegato, può causare gravi danni. Stephanie “Snow” Carruthers Chief People Hacker IBM Security® X-Force® Red

Domande frequenti

La risposta è sì. Se è in esecuzione su una console QRadar SIEM, l'app UBA richiede un minimo di 64 GB e fino a 128 GB di memoria. Inoltre, prendi in considerazione la distribuzione di un host app QRadar SIEM per accedere a tutti i vantaggi dell'esecuzione dell'app UBA con l'app di apprendimento automatico abilitata.

UBA si integra direttamente in QRadar SIEM utilizzando l'interfaccia utente e il database esistenti. Tutti i dati di sicurezza a livello aziendale possono rimanere in un'ubicazione centrale e gli analisti possono modificare le regole, generare report e collegare i dati come parte della propria esperienza SIEM.

Poiché l'app UBA condivide lo stesso database sottostante di QRadar SIEM e NDR, qualsiasi origine dei dati assimilata in QRadar SIEM può essere visualizzata e utilizzata in modo vantaggioso per UBA.

UBA si presenta come una raccolta di 3 app: un'app LDAP che aiuta ad acquisire e unire le informazioni di identità degli utenti, un'app UBA che aiuta a visualizzare dati e analitica e un'app di apprendimento automatico che fornisce una libreria di algoritmi di apprendimento automatico utilizzati per creare modelli comportamentali delle attività degli utenti.

Il rilevamento anomalie è una tecnica utilizzata per identificare pattern insoliti che non si conformano al normale comportamento e differiscono in maniera significativa dalla maggioranza dei dati. L'app UBA costruisce una linea di base del comportamento normale a partire dagli eventi di un utente e di utenti simili (peer) e poi utilizza questa linea di base per rilevare comportamento anomalo.

Un punteggio rischio è l'espressione numerica della potenziale nocività dell'attività di un utente. Ogni comportamento anomalo rilevato da UBA incide sul punteggio rischio di un singolo utente.

Il rilevamento anomalie è una tecnica utilizzata per identificare pattern insoliti che non si conformano al normale comportamento e differiscono in maniera significativa dalla maggioranza dei dati. L'app UBA costruisce una linea di base del comportamento normale a partire dagli eventi di un utente e di utenti simili (peer) e poi utilizza questa linea di base per rilevare comportamento anomalo.

Un punteggio rischio è l'espressione numerica della potenziale nocività dell'attività di un utente. Ogni comportamento anomalo rilevato da UBA incide sul punteggio rischio di un singolo utente.

Al momento dell'installazione, gli algoritmi di apprendimento automatico ingeriscono le precedenti 4 settimane di dati dal database QRadar e la costruzione dei modelli di base del normale comportamento degli utenti può richiedere fino a una settimana.

L'app UBA può essere distribuita in distribuzioni SaaS, software o cloud di IBM® Security QRadar.

L'app UBA è offerta gratuitamente ai clienti QRadar.

In caso di problemi ad alta priorità, IBM support mette a disposizione risorse utili. L'app UBA include una sezione di guida e supporto per l'utilizzo di LDAP, UBA e delle app di analitica di apprendimento automatico.

Come per tutte le applicazioni e i moduli QRadar, i dati vengono crittografati a riposo.

Documentazione

Esplora la documentazione aggiuntiva su come l'app QRadar SIEM UBA aiuta a proteggere i dati e gli asset preziosi dalle minacce dall'interno.

Consulta il documento tecnico QRadar SIEM User Behavior Analytics (UBA) 
Passa alla fase successiva

Richiedi una demo di QRadar SIEM per scoprire come lo strumento di analisi del comportamento degli utenti può proteggere la tua azienda dalle minacce informatiche.

Richiedi una demo
Più modi di esplorare Documentazione Supporto Comunità Partner risorse
Note a piè di pagina