焦點特色
根據使用者行為異常來偵測內部人員威脅
使用者行為分析和精細的機器學習演算法可偵測到使用者偏離正常的活動模式,或表現異於其同儕。QRadar UBA 會建立正常活動的基準並偵測重大偏差,以同時揭露惡意內部人員以及已被網路罪犯破壞認證的使用者。
與 IBM QRadar 無縫整合
UBA 直接整合在 QRadar Security Intelligence Platform 解決方案中,並充分利用現有的 QRadar 使用者介面和資料庫。所有的企業層面安全資料都可以保留在一個集中位置,分析師可以調整規則、產生報告,並整合「身分與存取管理 (IAM)」解決方案 - 完全無需學習新系統或建置新的整合。
產生個別使用者的詳細風險評分
風險評分會隨著使用者活動而動態變更,高風險使用者可以新增至觀察名單中。安全分析師可輕鬆往下探查來檢視動作、攻擊、日誌和流程資料(構成個人的風險評分)。這有助於縮短內部威脅相關聯的調查和回應時間。
可從 IBM Security App Exchange 取得
QRadar UBA 包裝成可下載的應用程式,與平台的正式版本發行週期無關。所有現行 QRadar 客戶都可以將此應用程式新增至 QRadar 7.2.8 版或更高版本,開始透過以使用者為中心的視圖查看其網路內部的活動。
客戶個案研討
客戶如何運用
-
洞察內部威脅
問題
偵測網路攻擊,優先處理安全事件,並有效回應內部威脅。
解決方案
揭露異常行為以更快速且有效地識別心懷不軌的內部人員以及使用受損認證的網路罪犯。
-
擴充 QRadar 平台功能
問題
監視個別使用者的潛在惡意活動是手動的,而且需要許多互不相連的工具。
解決方案
UBA 儀表板整合在 QRadar 主控台中並協助擴充現有功能,以便更充分地識別高風險使用者。從 UBA 應用程式的個別使用者詳細資料頁面,調查任何使用者的異常行為。
-
監視整個企業中的使用者風險
問題
判斷環境的整體性能及使用者在其中所引起的風險。
解決方案
運用機器學習來產生使用者的風險評分、識別高風險使用者,然後只針對最有風險的活動發出警示來及早提供威脅的警告,而不會累垮分析師。
技術詳細資料
軟體需求
如需最佳體驗,請將 QRadar 系統升級至 QRadar 7.2.8 修補程式 13(或更新版本)或 QRadar 7.3.1 修補程式 6(或更新版本)。
- QRadar 7.2.8 版或更新版本
- Mozilla Firefox 45.2 Extended Support Release
- Google Chrome(最新)
硬體需求
- UBA 應用程式需要應用程式記憶體儲存區擁有 1.2 GB 的可用記憶體。
- 任何 ML 模型的受監視使用者數目上限每 5 GB 為 4 萬個,使用者總數最多為 16 萬個。