Полезные сведения о функциях

Сводная панель в составе консоли QRadar

В одном окне показаны пользователи и подозрительные операции, которые могут указывать на наличие внутренних угроз. IBM® QRadar® User Behavior Analytics (UBA) расширяет возможности платформы QRadar Security Intelligence Platform и добавляет представление действий пользователей. На сводной панели показано число отслеживаемых пользователей, пользователи из группы риска, категории рисков, события защиты и угрозы, а также общее состояние пользователей и список наблюдения за пользователями.

Обнаружение внутренних угроз на основе подозрительных действий пользователей

Решение UBA создает шаблон типичных действий пользователей и обнаруживает заметные отклонения от него. Внутренние угрозы входят в число наиболее распространенных векторов атак на организации, которые могут быть следствием действий недобросовестных сотрудников, хищения идентификационных данных хакерами, операций контрагентов или партнеров, ставших жертвами вредоносных фишинговых атак, или других угроз.

Списки наблюдения за пользователями

Пользователи из группы риска помещаются в список наблюдения и отображаются на вкладке QRadar и в сводной панели. Благодаря интеграции с решениями по реагированию на инциденты угрозы могут быть нейтрализованы быстрее.

Алгоритмы машинного обучения для мониторинга изменений поведения

Тонко настроенные алгоритмы машинного обучения обнаруживают, когда пользователи необычным образом работают в приложениях, выполняют действия, чем-то отличающиеся от действий коллег, или недопустимые операции. Все это может указывать на внутренние угрозы.

Подробное ранжирование рисков отдельных пользователей

Аналитик может одним щелчком вывести подробное представление действий и нарушений, которые определяют степень риска пользователя. С каждым нарушением связаны индивидуальные протоколы и данные операций, которые также можно просмотреть. Приложение UBA ускоряет расследование и интегрируется с решениями для реагирования на инциденты, тем самым сокращая время, требуемое для нейтрализации внутренних угроз.

Доступно на IBM Security App Exchange

Продукт QRadar UBA предназначен для существенного расширения возможностей выявления внутренних угроз и поставляется как приложение, которое можно загрузить независимо от расписания выпусков всей платформы. Все текущие пользователи QRadar могут добавить это приложение в версию QRadar не ниже 7.2.6 и получить представление о действиях пользователей внутри своей сети.

Техническая информация

Требования к программному обеспечению

Все текущие пользователи QRadar могут добавить это приложение в версию QRadar не ниже 7.2.6 и получить представление о действиях пользователей внутри своей сети.

Поддерживаемые веб-браузеры:

  • Mozilla Firefox 45.2 Extended Support Release
  • Google Chrome (последняя версия)

Требования к аппаратному обеспечению

Требуется консоль QRadar SIEM с 128 ГБ оперативной памяти.

    Технические спецификации

    Перед установкой QRadar UBA необходимо установить IBM Security QRadar 7.2.6 с пакетом исправлений 4 или более поздней версии.