Informazioni sui cookie del presente sito Per il corretto funzionamento, i nostri siti Web richiedono alcuni cookie (richiesto). Inoltre, con il suo consenso, potrebbero essere utilizzati altri cookie per l'analisi dell'utilizzo del sito, per migliorare l'esperienza utente e per scopi pubblicitari. Per ulteriori informazioni, consultare le. Visitando il nostro sito web, accettate il trattamento delle informazioni da parte nostra come descritto nelladichiarazione sulla privacy di IBM. Per consentire una corretta navigazione, le preferenze per i cookie dell'utente verranno condivise sui domini Web IBM qui elencati.
Home
Security
QRadar
SIEM
Analitica del comportamento degli utenti con IBM QRadar SIEM
Ottieni più visibilità sulle minacce dall'interno, scopri comportamenti anomali, identifica rapidamente gli utenti a rischio e genera conoscenza significativa
Rileva credenziali compromesse, movimento laterale e altri comportamenti dannosi
User Behavior Analytics (UBA) di IBM QRadar SIEM definisce una base di modelli di comportamento per i tuoi dipendenti, in modo da poter rilevare meglio le minacce alla tua organizzazione. La funzione utilizza dati preesistenti in QRadar SIEM per generare nuovi insight su utenti e rischio.
Stabilendo i profili di rischio degli utenti all'interno della rete, potrai reagire più rapidamente alle attività sospette, che si tratti di furto d'identità, hacking, phishing o malware.
UBA protegge dal phishing e non solo
Distingui il normale comportamento dell'utente dalle anomalie per interrompere le minacce
Il 41% delle infezioni di rete è causato dal phishing.1
Più della metà degli attacchi di phishing utilizza tecniche di spear phishing.2
Come osservato dal software di rilevamento delle minacce X-Force, è stato rilevato un aumento del 100% al mese nei tentativi di hijacking.3
Come funziona
Per il secondo anno consecutivo, il principale vettore di infezione sono stati gli attacchi di phishing, in cui l'autore dell'attacco si spaccia per qualcun altro e utilizza le conversazioni e-mail esistenti per scopi dannosi. Capire il comportamento normale degli utenti e individuare rapidamente le anomalie è fondamentale per bloccare le infezioni. Con UBA, è possibile aggiungere utenti con la procedura guidata di importazione e aggiungere a QRadar SIEM il punteggio di rischio e le identità utente unificate.
La procedura guidata di importazione degli utenti consente di importare utenti e dati utente direttamente dall'app UBA. Tale procedura consente di importare utenti da un server LDAP, un Active Directory server, tabelle di riferimento e file CSV. È inoltre possibile creare attributi personalizzati con la procedura guidata di importazione degli utenti.
Crea profili di rischio assegnando il rischio a diversi casi d'uso della sicurezza, a seconda della severità e dell'affidabilità dell'incidente e utilizzando i dati di eventi e flussi esistenti nel sistema QRadar. Un profilo di rischio può basarsi su semplici regole, ad esempio se un utente visita siti web dannosi o compromessi, o includere analisi statiche che utilizzano il machine learning.
Crea identità utente unificate combinando account diversi per un utente QRadar. Importando i dati da un'Active Directory, da LDAP, da una tabella di riferimento o da un file CSV, l'app UBA può apprendere quali account appartengono a ciascun utente. Ciò consente anche di combinare i dati su rischio e traffico tra i diversi nomi utente dell'app UBA, in modo da poter monitorare meglio le azioni degli utenti e impedire gli attacchi.
Cosa è incluso
Arricchisci e approfondisci i tuoi casi d'uso per eseguire la creazione di profili e il clustering delle serie temporali con il componente aggiuntivo per l'apprendimento automatico, che integra l'app UBA. L'apprendimento automatico si aggiunge alle visualizzazioni esistenti dell'app UBA che mostrano il comportamento appreso (modelli), il comportamento attuale e gli avvisi. L'apprendimento automatico utilizza i dati storici di QRadar per creare modelli predittivi e linee di base di ciò che è normale per un utente.
Il contenuto delle regole UBA viene installato dopo la configurazione dell'app e può essere modificato nell'app di gestione dei casi d'uso QRadar. Le regole che misurano il rischio dell'utente vengono aggiunte alla tabella dati delle regole UBA. Le regole UBA e le funzioni di ottimizzazione consentono di determinare i parametri che QRadar SIEM utilizzerà per mantenere protetti l'azienda e i dati.
Domande frequenti
La risposta è sì. Se è in esecuzione su una console QRadar SIEM, l'app UBA richiede un minimo di 64 GB e fino a 128 GB di memoria. Inoltre, prendi in considerazione la distribuzione di un host app QRadar SIEM per accedere a tutti i vantaggi dell'esecuzione dell'app UBA con l'app di apprendimento automatico abilitata.
UBA si integra direttamente in QRadar SIEM utilizzando l'interfaccia utente e il database esistenti. Tutti i dati di sicurezza a livello aziendale possono rimanere in un'ubicazione centrale e gli analisti possono modificare le regole, generare report e collegare i dati come parte della propria esperienza SIEM.
Poiché l'app UBA condivide lo stesso database sottostante di QRadar SIEM e NDR, qualsiasi origine dei dati assimilata in QRadar SIEM può essere visualizzata e utilizzata in modo vantaggioso per UBA.
UBA si presenta come una raccolta di 3 app: un'app LDAP che aiuta ad acquisire e unire le informazioni di identità degli utenti, un'app UBA che aiuta a visualizzare dati e analitica e un'app di apprendimento automatico che fornisce una libreria di algoritmi di apprendimento automatico utilizzati per creare modelli comportamentali delle attività degli utenti.
Il rilevamento anomalie è una tecnica utilizzata per identificare pattern insoliti che non si conformano al normale comportamento e differiscono in maniera significativa dalla maggioranza dei dati. L'app UBA costruisce una linea di base del comportamento normale a partire dagli eventi di un utente e di utenti simili (peer) e poi utilizza questa linea di base per rilevare comportamento anomalo.
Un punteggio rischio è l'espressione numerica della potenziale nocività dell'attività di un utente. Ogni comportamento anomalo rilevato da UBA incide sul punteggio rischio di un singolo utente.
Un punteggio rischio è l'espressione numerica della potenziale nocività dell'attività di un utente. Ogni comportamento anomalo rilevato da UBA incide sul punteggio rischio di un singolo utente.
Al momento dell'installazione, gli algoritmi di apprendimento automatico ingeriscono le precedenti 4 settimane di dati dal database QRadar e la costruzione dei modelli di base del normale comportamento degli utenti può richiedere fino a una settimana.
L'app UBA può essere distribuita in distribuzioni SaaS, software o cloud di IBM Security QRadar.
L'app UBA è offerta gratuitamente ai clienti QRadar.
Come per tutte le applicazioni e i moduli QRadar, i dati vengono crittografati a riposo.
Note a piè di pagina
1, 2, 3 IBM X-Force Threat Intelligence Index 2023 Insight, Stephanie Carruthers