اسپلانک UBA چیست؟ و آنالیز رفتار کاربر چطور تهدیدات را شناسایی می کند
تجزیه و تحلیل رفتار کاربر و یا اسپلانک UBA چیست؟
تجزیه و تحلیل رفتار کاربر (User Behavior Analytics)، که گاهی اوقات تجزیه و تحلیل رفتار موجودیت کاربر (UEBA) نیز نامیده می شود، قابلیتی از اسپلانک است که به تیم های امنیتی کمک می کند تهدیدات داخلی را شناسایی کرده و به آنها پاسخ دهند. اینکار با استفاده از یادگیری ماشینی (Machine Learning) و تجزیه و تحلیل، رفتارهای عوامل تهدید را در محیط های سازمانی شناسایی و دنبال می کند، اسپلانک برای شناسایی این گونه تهدیدات داده ها را از طریق یک سری الگوریتم ها برای شناسایی اقدامات خارج از هنجارهای کاربر، بررسی می کند.
از آنجا که تهدیدهای داخلی سخت ترین و در عین حال آسیب رسان ترین آنها است، اسپلانک UBA ابزاری ارزشمند برای شناسایی الگوهای مشکوک است که ممکن است نشانگر سرقت اعتبارنامه، کلاهبرداری و سایر اقدامات مخرب باشد.
انواع تهدیدها عبارتند از:
- سو abuse استفاده از حساب مخفی: استفاده نامناسب از مجوزهای دسترسی.
- ارتقا سطح دسترسی: تغییر اعتبار دسترسی.
- نفوذ داده ها: سرقت داده های خصوصی ، محرمانه و حساس درون سازمان توسط بدافزار یا نفوذگر.
- رفتار ناهنجار: دسترسی به دامنه های خارجی، دسترسی از راه دور به دارایی های دارای امتیاز بالا و مدت زمان ورود ، زمان یا مکان غیرمعمول.
- سازش اعتبار: تصرف حساب ها برای اهداف سوء
UBA و UEBA
تجزیه و تحلیل رفتار کاربر و موجودیت (UEBA) چیست؟
تجزیه و تحلیل رفتار کاربر و موجودیت entity اصطلاح دیگری برای تجزیه و تحلیل رفتار کاربر است. با تحول در فضای تهدید ، تعریف بازار UBA نیز تغییر کرد. افزودن “موجودیت” نشان دهنده رفتار سو، توسط انسان و همچنین دستگاه ها ، برنامه ها و شبکه ها است و فعالیت کاربر را از چندین منبع ارتباط می دهد. طبق گفته گارتنر، اصطلاح E در UEBA “این واقعیت را تشخیص می دهد كه سایر افراد علاوه بر كاربران اغلب برای تعیین دقیق تر تهدیدات، تا حدی با همبستگی رفتار این موجودیت های دیگر با رفتار کاربر، مشابه می شوند.”
به عبارت دیگر، رفتار موجودیت ها – به ویژه کاربران، دستگاه ها، حساب های سیستم و حساب های ممتاز – می تواند برای آشکار کردن ناهنجاری ها استفاده شود، حتی اگر با تعداد تکرار پایین و در مدت زمان طولانی رخ دهد. تعداد کمی از ابزارهای امنیتی توانایی تشخیص تهدید را دارند اگر متناسب با موجودیت خاصی نباشد، اما UEBA می تواند تعدادی متغیر را بهم پیوند دهد تا تهدیدهای احتمالی را بهتر تشخیص دهد. با استفاده از UEBA، شما از سازمان خود در برابر تهدیداتی که می توانند به محیط نفوذ کنند یا از قبل در داخل وجود دارند محافظت می کنید.
تفاوت بین UBA و UEBA چیست؟
تجزیه و تحلیل رفتار کاربر و تجزیه و تحلیل رفتار کاربر و نهاد اساساً به یک معنی هستند. اکثر راه حل های UBA جنبه “موجودیت” را نیز تحت پوشش قرار می دهد که گارتنر را مجبور به ساخت “UEBA” می کند. با این حال ، بدون شک UEBA اصطلاح رایج تری است زیرا تفاوت اصلی را بین رفتار کاربر و موجودیت ایجاد می کند. (“UBA” همچنین نام Splunk UEBA است که به سازمان ها کمک می کند تا از طریق بررسی رفتار چند بعدی، تجزیه و تحلیل پویا و یادگیری ماشین بتواند با تهدیدات داخلی مبارزه کنند.)
UBA/UEBA چگونه کار می کند؟
UBA / UEBA با مقایسه تغییر در رفتار کاربر یا دارایی در مقایسه با اقدامات گذشته یا گروه های مشابه کار می کند. یک راه حل UBA برای هر کاربر، دستگاه، برنامه، حساب ممتاز و حساب سرویس مشترک خط پایه baseline ایجاد می کند، سپس تغییرات را با الگوی تعریف شده مقایسه کرده و تشخیص می دهد. سپس نمره ای برای نشان دادن شدت تهدید مورد نظر تعیین می شود، این موضوع به این شرکت این اجازه را می دهد نه تنها هشدارها را به صورت روزانه مرور کند، بلکه کاربران مخرب را نیز مانیتور کرده و اقدامات پیشگیرانه را انجام دهد.
چگونه تهدیدات را با UBA/UEBA حل می کنید؟
به جای ارائه هشدارهای متناوب ناشی از نقض قوانین استاتیک static rule ، UBA لیست کوتاه تری از تهدیدها را برای حل و همراه با شواهد پشتیبانی کننده برای توضیح اینکه چرا یک تهدید خاص باید نگران کننده باشد ارائه می دهد.
تحلیلگران امنیتی چندین گزینه برای حل تهدیدات کشف شده توسط UBA دارند. علاوه بر مشاهده تهدیدات از طریق رابط کاربری، اطلاعات تهدید را می توان از طریق ایمیل برای کارکنان واحد فناوری اطلاعات و یا تیم امنیتی ارسال کرد. اعلان ها منتشر شده در داشبورد امنیتی یا به یک سیستم امنیتی خارجی ارسال می شود. بسته به محلی که راه حل اسپلانک UBA شما متصل می شود، ممکن است یک پاسخ خودکار نیز داشته باشید که با تشخیص یک حادثه یا رویداد انجام می گیرد.
نگاهی عمیق تر به UBA و UEBA
تحلیل رفتاری (BA) چیست؟
تجزیه و تحلیل رفتاری منطقه ای از تجزیه و تحلیل داده ها است که بینش در مورد عملکرد افراد را فراهم می کند. هر شخص یا ماشینی که با یک شرکت، سیستم، سیستم عامل یا محصول ارتباط برقرار کند می تواند موضوع تجزیه و تحلیل رفتاری باشد.
ابزارهای تجزیه و تحلیل رفتاری حجم بالایی از داده های رویداد خام را از تعاملات کاربر در چندین کانال دریافت می کنند، از تمام رفتارهای کاربر تا تعامل با شبکه های اجتماعی گرفته تا حتی زمان جلسات منحصر به فرد، همه چیز را بررسی می کنند. این نوع داده ها می توانند شامل معیارهای تبلیغات و بازاریابی مانند نرخ تبدیل یا هزینه هر کلیک و همچنین خط لوله و ارزش پولی باشند. تجزیه و تحلیل رفتاری همچنین می تواند شامل اطلاعاتی در مورد جمعیت شناسی و جغرافیا نیز باشد.
برنامه های تجزیه و تحلیل رفتاری شامل موارد زیر است:
- تجارت الکترونیکی و خرده فروشی: براساس روند فروش توصیه هایی می کند.
- بازی های آنلاین: به موارد استفاده و ترجیحات کاربر برای نسخه های موجود و آتی نگاه می کند.
- توسعه برنامه: نحوه تعامل کاربران با یک برنامه را برای پیش بینی استفاده و تنظیمات برگزیده در آینده تعیین می کند.
- امنیت: با شناسایی رفتارهای ناهنجار، اعتبارات به خطر افتاده و تهدیدات داخلی را تشخیص می دهد.
نقش یادگیری ماشین (Machine Learning) در اسپلانک UBA چیست؟
یادگیری ماشینی نقشی اساسی در UBA را ایفا می کند و بصورت کاملاً کلیدی برای تأمین انرژی یک سیستم داده که از تجزیه و تحلیل پیشرفته پشتیبانی می کند، استفاده می شود. قابلیت های شناسایی تهدید در یک راه حل UBA می تواند ناهنجاری ها را در چندین منبع داده در هر محیطی که داده های ماشین را تولید می کند، پیدا کرده و ارتباط آنها را تشخیص دهد.
ابزارهای تجزیه و تحلیل مبتنی بر روش های یادگیری ماشین بدون نیاز به امضا یا تجزیه و تحلیل انسانی ، امکان پروفایل رفتار چند نهادی و تجزیه و تحلیل گروه های همتا را دارند. این قابلیت نظارت و پاسخ بسیار دقیق تری را برای UBA فراهم می کند.
نتیجه تشخیص خودکار، کشف تهدید دقیق و ناهنجاری ها است. با قرار دادن شاخص های تهدید شناسایی شده توسط الگوریتم های مختلف، یادگیری ماشین به نرم افزار یا راه حل کمک می کند تهدیدهای با احتمال بالا را شناسایی کند.
با یادگیری ماشینی، تحلیلگران و تیم های مرکز عملیات امنیت (SOC) می توانند تحقیقات سریعی را انجام دهند، بینش های معنی داری پیدا کنند، علت اصلی یک حادثه را تعیین کنند، از روندهای تاریخی استفاده کنند و یافته ها را به اشتراک بگذارند بدون اینکه درگیر هزاران هشدار دروغین شوند. به بیان ساده، سازمان ها می توانند سرعت تشخیص را بهبود بخشند، تأثیرات را تجزیه و تحلیل کرده و به سرعت به هر حادثه امنیتی پاسخ دهند.
چگونه از اسپلانک UBA با SIEM استفاده می کنید؟
UBA یک جز component حیاتی در هر سیستم SIEM (امنیت حادثه و مدیریت رویدادها) است. ابزارهای UBA برای ارائه بینشی از الگوهای رفتاری در شبکه، با راه حل های SIEM هماهنگ هستند. با ترکیب هر دو راه حل، شما از مزایای تکنیک های تشخیص تهدید استفاده می کنید که رفتار انسان و رفتار ماشین را بررسی می کند.
گسترش SIEM برای بلعیدن ناهنجاری های رفتاری شناسایی شده توسط UBA همچنین زمینه های بیشتری را در مورد تهدیدهای شناخته شده و ناشناخته فراهم می کند و همچنین تهدیدات را با دقت بیشتری شناسایی می کند. این می تواند با از بین بردن خطاهای کاذب و صرفاً تهدیدهای با احتمال صحت بالا که معمولاً از طریق همبستگی مبتنی بر قوانین قابل تشخیص نیستند، در وقت تحلیلگران صرفه جویی کرده و کارایی SOC شما را افزایش دهد.
نقش اسپلانک UBA در یک مرکز عملیات امنیت (SOC) چیست؟
UBA با شناسایی تغییرات غیرمعمول در رفتار کاربر نهای ، در مرکز عملیات امنیتی نقشی اساسی را ایفا می کند. UBA می تواند هشدارها را قبل از ارسال به تیم SOC فیلتر کند و به آنها فرصت می دهد تا روی تهدیدهای فوری و پیچیده تمرکز کنند.
UBA به تحلیلگران SOC اجازه می دهد تا به طور یکپارچه و به راحتی:
- تهدیدهای داخلی را با مدل سازی رفتار و تجزیه و تحلیل شناسایی کنند.
- روی تشخیص تهدیدات داخلی از طریق امتیاز دهی به ناهنجاری تمرکز کنند.
- پاسخ حادثه را خودکار کرده و تهدیدها را به طور مداوم کنترل کنند.
معماری های انطباقی امنیت اطلاعات که شامل این نوع تجزیه و تحلیل پیشرفته هستند، در فضای امنیتی امروز بهتر می توانند از حمله کنندگان سایبری جلوگیری کرده و تهدیدات را شناسایی و پاسخ دهند.
مطالب زیر را حتما بخوانید
-
Sysmon چیست و چگونه در جمع آوری لاگ به شما کمک میکند
1.41k بازدید
-
مدرک اسپلانک
3.04k بازدید
-
سوالات مصاحبه اسپلانک
2.45k بازدید
-
نرم افزار SIEM چیست؟ این ابزار قدرتمند چگونه به امنیت شما کمک می کند
4.43k بازدید
-
اسپلانک API چیست؟ و چگونه به کسب و کار شما کمک می کند
1.37k بازدید
-
اسپلانک Apps و Add-ons های آن چه هستند و چه کمکی به ما می کنند؟
1.59k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.