Introdução ao UBA
Com Splunk User Behavior Analytics , pode descobrir anormalidades e ameaças desconhecidas que as ferramentas de segurança tradicionais deixam escapar; automatizar a junção de centenas de anomalias numa única ameaça; e usar capacidades de investigação profundas e linhas de base de comportamento poderosas em qualquer entidade, anomalia ou ameaça. As páginas deste percurso de aprendizagem guiado irão ajudá-lo a começar.
Casos de Utilização
Se está a pensar em comprar Splunk User Behavior Analytics , os casos de utilização descritos abaixo irão ajudá-lo a familiarizar-se com o que pode realizar. Se já é cliente, salte para a próxima página neste caminho para começar.
Utilização indevida da conta
O uso indevido acidental e o abuso deliberado de privilégios de superusuário geram riscos críticos de conformidade e privacidade com consequências financeiras potencialmente graves e danos à reputação da sua empresa. Splunk User Behavior Analytics baseia o comportamento regular de cada conta e identifica anormalidades que podem indicar uso excessivo, acesso raro, potencial sabotagem ou cobertura de rastros. Splunk User Behavior Analytics a confiança cresce à medida que a atividade de um utilizador se desvia do perfil de grupo de pares do utilizador e do perfil da empresa. Quanto maior a confiança, maior o risco. Exemplos dessas detecções incluem o uso de contas de serviço para fazer logins VPN ou interativos, espiar dados, excluir registros de auditoria e acessar informações confidenciais.
Conta de utilizador comprometida
Splunk User Behavior Analytics identifica situações em que as credenciais do utilizador foram roubadas e estão a ser utilizadas por alguém que não seja o utilizador humano autorizado ou a aplicação. Este caso de utilização também pode detetar a utilização da conta partilhada e o abuso genérico da conta. Splunk User Behavior Analytics usa modelagem de comportamento para identificar qualquer desvio da atividade do utilizador em relação ao normal, indicando assim que alguém que não seja o proprietário legítimo está a operar a conta. A detecção engloba a identificação de actividades do AD invulgar ou maliciosas, tais como operações em si próprio, utilizadores encerrados, contas desactivadas e recuperação de conta.
Máquina comprometida e infectada
Splunk User Behavior Analytics pode identificar pontos de extremidade de rede comprometidos que estão infectados por malware ou que estão a comportar-se de outra forma de forma suspeita. Isto difere do caso de utilização da conta de utilizador comprometida, uma vez que a actividade maliciosa pode ser detectada num sistema anfitrião mas não necessariamente ligada a uma conta de utilizador específica. Por exemplo, o tráfego de comando e controlo pode ser identificado a partir de um sistema onde nenhum utilizador está actualmente ligado. A modelação baseada no comportamento permite Splunk User Behavior Analytics identificar a atividade de malware independentemente do mecanismo de entrega da infecção inicial. As técnicas de detecção incluem o rastreamento de alterações nos padrões de comunicação dos dispositivos, a natureza da comunicação com domínios externos ou IPs, ou características dos domínios.
Inteligência contextual
Splunk User Behavior Analytics aprende muito sobre utilizadores e entidades na organização para identificar anomalias que possam estar ligadas a ameaças. Esta informação é extremamente útil para analistas que realizam triagem de alertas e investigações de incidentes. Por exemplo, se um analista suspeitar que um endpoint foi comprometido, o analista pode usar Splunk User Behavior Analytics para saber mais sobre os utilizadores desse desktop, o seu comportamento regular e até o papel desse ponto final na rede. Por exemplo, o endpoint é um servidor ou uma estação de trabalho e é utilizado para administração do sistema ou funções empresariais?
Exfiltração de dados
A exfiltração de dados não autorizada ou mal-intencionada pode ocorrer mesmo por ação de utilizadores autorizados. Como resultado, este caso de uso está focado na identificação deste tipo de atividade, que é necessária mesmo quando existe a capacidade de detetar contas e endpoints comprometidos. Splunk User Behavior Analytics detecta perda ou roubo de dados privados e confidenciais fora da empresa através de vários vetores de ameaça, tais como infraestruturas de segurança de rede, incluindo firewall e proxies, armazenamento online na nuvem, armazenamento anexado, incluindo dispositivos USB, e correio electrónico.
Movimento lateral
O movimento lateral envolve uma análise privilegiada de confiança e expansão do acesso através de vários recursos. Técnicas de detecção como acesso raro ou expansão da utilização de recursos são utilizadas para identificar movimentos laterais. Os recursos aqui podem ser máquinas, partilhas de ficheiros de rede, pastas de caixas, etc. Os acessos podem ser pesquisas de rede, logins de força bruta ou logins legítimos.
Comportamento suspeito e ameaças desconhecidas
Nos casos em que não existam assinaturas ou correlações pré-definidas suficientes para cobrir alguns cenários, Splunk User Behavior Analytics pode identificar eficazmente cenários desconhecidos através da identificação de anomalias com base em desvios na actividade do utilizador ou do dispositivo em comparação com as linhas de base do próprio grupo ou de pares, actividades suspeitas ou maliciosas e alertas de ferramentas externas e correlacionando-as numa ameaça. Estas actividades suspeitas da conta e ameaças desconhecidas exigem frequentemente uma investigação mais aprofundada e podem conduzir a outras ameaças potenciais, tais como malvertising, comprometimento da conta, uso indevido da conta, violações de políticas ou configuração incorreta. O caso de utilização de comportamento suspeito/ameaças desconhecidas é frequentemente utilizado para a construção de conteúdos. Quando um cenário desconhecido é detectado, o cenário pode ser escrito em regras de pesquisa de correlação ou ameaça para detecção determinística.