La aplicación IBM Security® QRadar® SIEM User Behavior Analytics (UBA) establece una línea base de patrones de comportamiento de sus empleados para que pueda detectar mejor las amenazas a su organización. Utiliza los datos existentes en QRadar SIEM para generar nuevos conocimientos en torno a los usuarios y el riesgo.
Al establecer los perfiles de riesgo de los usuarios dentro de su red, puede reaccionar más rápidamente ante actividades sospechosas, ya sean de robo de identidad, hacking, phishing o malware.
Distinga el comportamiento normal de los usuarios de las anomalías para detener las amenazas
El 41 % de las infecciones de la red son ocasionadas por el phishing¹
Más del 50 % de los ataques de phishing utilizan técnicas de spear phishing2
Se ha producido un aumento mensual del 100 % en los intentos y amenazas de secuestro, según lo observado por el software de detección de amenazas X-Force®3
Por segundo año consecutivo, el phishing fue el principal vector de infección en el que un atacante se hace pasar por otra persona y utiliza conversaciones de correo electrónico existentes con fines maliciosos. Comprender el comportamiento normal de los usuarios y detectar rápidamente las anomalías es fundamental para detener las infecciones. Puede agregar usuarios a la aplicación UBA con el asistente de importación de usuarios, y añadir puntuación de riesgos e identidades de usuario unificadas a QRadar SIEM con la aplicación de UBA.
El asistente de importación de usuarios le permite importar usuarios y datos de usuarios directamente desde la aplicación UBA. El asistente de importación de usuarios le ayuda a importar usuarios desde un servidor LDAP, un servidor de directorio activo, tablas de referencia y archivos CSV. También puede crear atributos personalizados con el asistente de importación de usuarios.
Cree perfiles de riesgo asignando riesgo a diferentes casos de uso de seguridad, dependiendo de la gravedad y confiabilidad del incidente y utilizando los datos de eventos y flujos existentes en su sistema QRadar®. Un perfil de riesgo puede basarse en reglas sencillas, como si un usuario visita sitios web dañinos o comprometidos, o incluir análisis de estado que utilicen el aprendizaje automático.
Construya identidades de usuario unificadas combinando cuentas dispares para un usuario de QRadar. Importando datos de un directorio activo, LDAP, tabla de referencia o archivo CSV, se puede enseñar a la aplicación UBA qué cuentas pertenecen a cada usuario. Esto también le ayuda a combinar el riesgo y el tráfico a través de los diferentes nombres de usuario en la aplicación de UBA para que pueda supervisar mejor las acciones de los usuarios y prevenir ataques.
Enriquezca y profundice sus casos de uso para realizar perfiles de series temporales y agrupaciones con el complemento de aprendizaje automático, que aumenta la aplicación UBA. El aprendizaje automático se suma a las visualizaciones existentes de la aplicación UBA que muestran el comportamiento aprendido (modelos), el comportamiento actual y las alertas. El aprendizaje automático utiliza los datos históricos de QRadar para crear los modelos predictivos y las líneas de base de lo que es normal para un usuario.
El contenido de las reglas de UBA se instala una vez configurada la aplicación y puede editarse en la aplicación Use Case Manager de QRadar. Las reglas que miden el riesgo del usuario se añaden a la tabla de datos de reglas de UBA. Las reglas de UBA y las funciones de ajuste le permiten determinar los parámetros que QRadar SIEM utilizará para mantener su empresa y sus datos protegidos.
Preguntas frecuentes
Sí. Si se ejecuta en una consola SIEM de QRadar, la aplicación UBA requiere un mínimo de 64 GB o hasta 128 GB de memoria. Además, considere la implementación de un host de aplicaciones SIEM de QRadar para acceder a todos los beneficios de ejecutar la aplicación UBA con la aplicación de aprendizaje automático habilitada.
UBA se integra directamente en QRadar SIEM utilizando la interfaz de usuario y la base de datos existentes. Todos los datos de seguridad de la empresa permanecen en una ubicación central y los analistas pueden ajustar reglas, generar informes y conectar datos como parte de su experiencia SIEM.
Dado que UBA comparte la misma base de datos subyacente que QRadar SIEM y NDR, cualquier fuente de datos que introduzca QRadar SIEM puede salir a la superficie y aprovecharse en UBA.
UBA se compone de una colección de 3 aplicaciones: una aplicación LDAP que ayuda a ingerir y cohesionar la información de identidad de los usuarios, una aplicación UBA que ayuda a visualizar datos y análisis, y una aplicación de aprendizaje automático que proporciona una biblioteca de algoritmos de aprendizaje automático utilizados para crear modelos de comportamiento de las actividades de los usuarios.
La detección de anomalías es una técnica utilizada para identificar patrones inusuales que no se ajustan al comportamiento normal y difieren significativamente de la mayoría de los datos. UBA construye una línea de base de comportamiento normal a partir de los eventos de un usuario y de usuarios similares (compañeros), y luego utiliza esa línea de base para detectar comportamientos anómalos.
Una puntuación de riesgo es la medida numérica de la nocividad potencial de la actividad de un usuario. Cada comportamiento anómalo que detecta UBA repercute en la puntuación de riesgo de un usuario individual.
La detección de anomalías es una técnica utilizada para identificar patrones inusuales que no se ajustan al comportamiento normal y difieren significativamente de la mayoría de los datos. UBA construye una línea de base de comportamiento normal a partir de los eventos de un usuario y de usuarios similares (compañeros), y luego utiliza esa línea de base para detectar comportamientos anómalos.
Una puntuación de riesgo es la medida numérica de la nocividad potencial de la actividad de un usuario. Cada comportamiento anómalo que detecta UBA repercute en la puntuación de riesgo de un usuario individual.
Después de la instalación, los algoritmos de aprendizaje automático ingieren las 4 semanas anteriores de datos de la base de datos QRadar y pueden tardar hasta 1 semana en construir los modelos de referencia del comportamiento normal de los usuarios.
La aplicación UBA se puede implementar en SaaS, software o en la nube de IBM Security® QRadar®.
La aplicación UBA se ofrece a los clientes de QRadar sin costo adicional.
El soporte de IBM cuenta con recursos dedicados que pueden ayudar con los problemas de prioridad alta. La aplicación UBA incluye una sección de ayuda y soporte para utilizar las aplicaciones LDAP, UBA y de análisis de aprendizaje automático.
Como en todas las aplicaciones y módulos de QRadar, los datos se cifran en reposo.
Notas de pie de página
1, 2, 3 IBM Security X-Force Threat Intelligence Index 2023 Insight, Stephanie Carruthers