Inicio

Seguridad

QRadar

SIEM

Análisis del comportamiento de los usuarios con IBM QRadar SIEM
Obtenga una mayor visibilidad de las amenazas internas, descubra comportamientos anómalos, identifique rápidamente a los usuarios de riesgo y genere perspectivas significativas.
Reserve una demostración en vivo
Stand de THINK 2023, Orlando (Florida)
Detecte credenciales comprometidas, movimientos laterales y otros comportamientos maliciosos

IBM QRadar SIEM User Behavior Analytics (UBA) establece una línea base de patrones de comportamiento de sus empleados para que pueda detectar mejor las amenazas a su organización. Utiliza los datos existentes en QRadar SIEM para generar nuevos insights en torno a los usuarios y el riesgo.

Al establecer los perfiles de riesgo de los usuarios dentro de su red, puede reaccionar más rápidamente ante actividades sospechosas, ya sean de robo de identidad, hacking, phishing o malware.

Más información acerca de UBA
Detección de amenazas de usuario interno con UBA Obtenga el Informe del costo de una filtración de datos 2024 Consulte el informe X-Force Threat Intelligence Index 2024
Realmente solo hace falta que un empleado haga clic en un enlace, facilite sus credenciales o abra un archivo adjunto para que se produzca una vulneración total. Stephanie “Snow” Carruthers Chief People Hacker IBM X-Force Red
UBA protege contra el phishing y mucho más

Distinga el comportamiento normal de los usuarios de las anomalías para detener las amenazas

El 41 %

El 41 % de las infecciones de la red son ocasionadas por el phishing.1

>50 %

Más del 50 % de los ataques de phishing utilizan técnicas de spear phishing.2

100 %

Se ha producido un aumento mensual del 100 % en los intentos y amenazas de secuestro, según lo observado por el software de detección de amenazas X-Force.3

Cómo Funciona

Por segundo año consecutivo, el phishing fue el principal vector de infección en el que un atacante se hace pasar por otra persona y utiliza conversaciones de correo electrónico existentes con fines maliciosos. Comprender el comportamiento normal de los usuarios y detectar rápidamente las anomalías es fundamental para detener las infecciones. Puede agregar usuarios con el asistente de importación de usuarios, y agregar una puntuación de riesgos e identidades de usuario unificadas a QRadar SIEM con UBA.

Asistente de importación de usuarios 

El asistente de importación de usuarios le permite importar usuarios y datos de usuarios directamente desde la aplicación UBA. El asistente de importación de usuarios le ayuda a importar usuarios desde un servidor LDAP, un servidor de directorio activo, tablas de referencia y archivos CSV. También puede crear atributos personalizados con el asistente de importación de usuarios.

Puntuación de riesgos 

Cree perfiles de riesgo asignando riesgo a diferentes casos de uso de seguridad, dependiendo de la gravedad y confiabilidad del incidente y utilizando los datos de eventos y flujos existentes en su sistema QRadar. Un perfil de riesgo puede basarse en reglas sencillas, como si un usuario visita sitios web dañinos o comprometidos, o incluir análisis de estado que utilicen el aprendizaje automático.  

Identidades de usuario unificadas 

Construya identidades de usuario unificadas combinando cuentas dispares para un usuario de QRadar. Importando datos de un directorio activo, LDAP, tabla de referencia o archivo CSV, se puede enseñar a la aplicación UBA qué cuentas pertenecen a cada usuario. Esto también le ayuda a combinar datos de riesgo y tráfico a través de los diferentes nombres de usuario en la aplicación de UBA para que pueda supervisar mejor las acciones de los usuarios y prevenir ataques.  

Qué Incluye
Complemento de aprendizaje automático

Enriquezca y profundice sus casos de uso para realizar perfiles de series temporales y agrupaciones con el complemento de aprendizaje automático, que aumenta la aplicación UBA. El aprendizaje automático se suma a las visualizaciones existentes de la aplicación UBA que muestran el comportamiento aprendido (modelos), el comportamiento actual y las alertas. El aprendizaje automático utiliza los datos históricos de QRadar para crear los modelos predictivos y las líneas de base de lo que es normal para un usuario.  

Lea sobre el análisis de aprendizaje automático

Reglas y ajuste

El contenido de las reglas de UBA se instala una vez configurada la aplicación y puede editarse en la aplicación Use Case Manager de QRadar. Las reglas que miden el riesgo del usuario se añaden a la tabla de datos de reglas de UBA. Las reglas de UBA y las funciones de ajuste le permiten determinar los parámetros que QRadar SIEM utilizará para mantener su empresa y sus datos protegidos.

Explorar las reglas y el ajuste

Preguntas frecuentes

Sí. Si se ejecuta en una consola SIEM de QRadar, la aplicación UBA requiere un mínimo de 64 GB o hasta 128 GB de memoria. Además, considere la implementación de un host de aplicaciones SIEM de QRadar para acceder a todos los beneficios de ejecutar la aplicación UBA con la aplicación de aprendizaje automático habilitada.

UBA se integra directamente en QRadar SIEM utilizando la interfaz de usuario y la base de datos existentes. Todos los datos de seguridad de la empresa permanecen en una ubicación central y los analistas pueden ajustar reglas, generar informes y conectar datos como parte de su experiencia SIEM.

Dado que UBA comparte la misma base de datos subyacente que QRadar SIEM y NDR, cualquier fuente de datos que introduzca QRadar SIEM puede salir a la superficie y aprovecharse en UBA.

UBA se compone de una colección de 3 aplicaciones: una aplicación LDAP que ayuda a ingerir y cohesionar la información de identidad de los usuarios, una aplicación UBA que ayuda a visualizar datos y análisis, y una aplicación de aprendizaje automático que proporciona una biblioteca de algoritmos de aprendizaje automático utilizados para crear modelos de comportamiento de las actividades de los usuarios.

La detección de anomalías es una técnica utilizada para identificar patrones inusuales que no se ajustan al comportamiento normal y difieren significativamente de la mayoría de los datos. UBA construye una línea de base de comportamiento normal a partir de los eventos de un usuario y de usuarios similares (compañeros), y luego utiliza esa línea de base para detectar comportamientos anómalos.

Una puntuación de riesgo es la medida numérica de la nocividad potencial de la actividad de un usuario. Cada comportamiento anómalo que detecta UBA repercute en la puntuación de riesgo de un usuario individual.

Una puntuación de riesgo es la medida numérica de la nocividad potencial de la actividad de un usuario. Cada comportamiento anómalo que detecta UBA repercute en la puntuación de riesgo de un usuario individual.

Después de la instalación, los algoritmos de aprendizaje automático ingieren las 4 semanas anteriores de datos de la base de datos QRadar y pueden tardar hasta 1 semana en construir los modelos de referencia del comportamiento normal de los usuarios.

La aplicación UBA se puede implementar en SaaS, software o en la nube de IBM Security QRadar.

La aplicación UBA se ofrece a los clientes de QRadar sin costo adicional.

Como en todas las aplicaciones y módulos de QRadar, los datos se cifran en reposo.

Documentación

Explore la documentación adicional sobre cómo la aplicación UBA de QRadar SIEM le ayuda a proteger datos y activos valiosos frente a amenazas internas.

Consultar la documentación técnica de SIEM UBA 
Dé el siguiente paso

Comience solicitando una demostración de QRadar SIEM para saber cómo la herramienta de análisis del comportamiento del usuario puede proteger a su empresa de las ciberamenazas.

Reserve una demostración en vivo
Más formas de explorar Documentación Soporte Comunidad Colaboradores Recursos Blog Learning Academy
Notas de pie de página