Полезные сведения

Обнаружение внутренних угроз на основе подозрительных действий пользователей

Анализ поведения пользователей и отлаженные алгоритмы машинного обучения позволяют определять, когда пользователи отклоняются от обычных шаблонов поведения или действуют не так, как их коллеги. QRadar UBA создает профиль обычного поведения и обнаруживает значительные отклонения для поиска как внутренних вредителей, так и пользователей, идентификационные данные которых скомпрометированы киберпреступниками.

Тесная интеграция с IBM QRadar

QRadar UBA интегрируется прямо в QRadar Security Intelligence Platform, включая интерфейс и базу данных QRadar. Все корпоративные данные о безопасности размещаются в центральном хранилище, и аналитики получают возможность настраивать правила, создавать отчеты и интегрировать продукт с дополнительными решениями IAM без необходимости освоения новых систем или разработки новых интеграций.

Расчет подробных показателей риска для отдельных пользователей

Показатели риска динамически изменяются в соответствии с поведением пользователей, и рискованные пользователи могут добавляться в список наблюдения. Аналитикам становится проще анализировать конкретные действия, нарушения, журналы и потоки данных, участвующие в расчете показателя риска пользователя. Это помогает ускорить расследование инсайдерских угроз и реагирование на них.

Доступно на IBM Security App Exchange

QRadar UBA поставляется в форме загружаемого приложения, независимого от цикла выпуска новых версий платформы. Все текущие пользователи QRadar могут добавить это приложение в версию QRadar не ниже 7.2.8 и получить представление о действиях пользователей внутри своей сети.

Краткий обзор IDC Lab Validation: IBM QRadar с UBA

Примеры внедрения

Предварительный просмотр примера внедрения ATEA Sverige AB

IBM QRadar SIEM способствует соблюдению строгих нормативов ЕС в отношении безопасности

ATEA Sverige AB

Как клиенты используют этот продукт

  • Получайте информацию об инсайдерских угрозах

    Проблема

    Обнаружение кибератак, упорядочение инцидентов безопасности по приоритетам и эффективное противодействие инсайдерским угрозам.

    Решение

    Обнаружение аномального поведения для более быстрого и эффективного выявления внутренних вредителей и киберпреступников, пользующихся скомпрометированными идентификационными данными.

  • Снимок экрана Watson Investigations

    Расширение возможностей платформы QRadar

    Проблема

    Отслеживание потенциально вредоносных действий отдельных пользователей ведется вручную и задействует множество разрозненных инструментов.

    Решение

    Сводная панель UBA входит в состав консоли QRadar и расширяет возможности платформы с целью более эффективного выявления пользователей с высокой степенью риска. На странице сведений о конкретном пользователе в приложении UBA можно отследить нестандартное поведение этого пользователя.

  • Снимок экрана сводной панели с последними инцидентами

    Отслеживание угроз от пользователей в масштабе всего предприятия

    Проблема

    Определение общей работоспособности среды и рисков, исходящих от пользователей.

    Решение

    Применение средств машинного обучения для расчета показателей риска пользователей, выявления рискованных пользователей и выдачи предупреждений только по самым рискованным действиям для раннего предупреждения угроз без перегрузки аналитиков избыточной информацией.

Техническая информация

Требования к программному обеспечению

Для более комфортной работы обновите свою систему QRadar до версии QRadar 7.2.8 с пакетом исправлений 13 (или новее) или QRadar 7.3.1 с пакетом исправлений 6 (или новее).

  • QRadar версии 7.2.8 или выше
  • Mozilla Firefox 45.2 Extended Support Release
  • Google Chrome (последняя версия)

Требования к аппаратному обеспечению

  • Для приложения UBA требуется 1,2 ГБ свободной памяти из пула приложений.
  • Максимальное количество отслеживаемых пользователей с помощью любой модели ML составляет 40000 на 5 ГБ; всего может отслеживаться до 160000 пользователей.

Вам также может быть интересно

IBM QRadar SIEM

IBM QRadar SIEM объединяет данные из протоколов событий и сетевых потоков с тысяч конечных устройств и приложений, разбросанных по всей сети.

IBM QRadar Advisor with Watson

Пользуется ИИ для расследования IOC и подготовки контекстной информации об угрозах.

IBM QRadar Network Insights

Инспекция сетевого трафика в реальном времени для обнаружения скрытых угроз.

IBM QRadar on Cloud

Вариант SaaS решения QRadar SIEM, размещенную в IBM Cloud.