• Exabeam
UEBA

Найпоширеніше в світі рішення безпеки для поведінкової аналітики, що використовує сучасне виявлення загроз і розслідування за допомогою машинного навчання.

Комплексна ідентифікація загроз з використанням поведінкового аналізу

Кібератаки стають все складніше і їх стає важче виявити. Аналітики часто не можуть виявити атаки, використовуючи правила кореляції, тому що у них відсутній контекст або вони не встановлюють правила для інцидентів, яких вони ніколи не бачили, що призводить до хибнонегативних результатів. Правила кореляції також вимагають значного обслуговування. Advanced Analytics автоматично визначає поведінку, яка вказує на загрозу. Він також повністю інтегрується зі службою Exabeam Threat Intelligence Service і сторонніми службами аналізу загроз, щоб в реальному часі надавати дієву інформацію про потенційні загрози в вашому середовищі за рахунок виявлення індикаторів компрометації (IOC) і шкідливих хостів.

Попередньо побудовані графіки автоматичного відновлення інцидентів безпеки

Час аналітика дорого. При використанні застарілих інструментів створення графіка інцидентів вручну може зайняти кілька днів або тижнів. Advanced Analytics надає щоденну хронологію інцидентів для кожного користувача і об'єкта. Аномалії позначаються і відображаються докладні відомості про інцидент, його контексті, включаючи моделі аналізу даних. Те, що вимагало значного часу для дослідження в застарілій SIEM, тепер займає хвилини, що робить групи безпеки більш продуктивними, а розслідування - більш результативним.

Поширення поведінкової аналітики на об'єкти хмарного сховища

Організації переміщують свої дані в хмару, щоб підвищити масштабованість, безпеку і продуктивність служби сховища об'єктів. Але хмарне сховище даних стало причиною багатьох порушень, оскільки помилки конфігурації залишаються непоміченими і легко розкривають конфіденційні дані. Advanced Analytics реєструє активність об'єктів хмарного сховища в мультихмарних середовищах, а саме сегментів Amazon S3, BLOB-об'єктів Azure і хмарних сховищ Google Cloud Platform, щоб забезпечити організаціям повну видимість їх активності в хмарному сховищі і базах даних, ненавмисно відкритих в Інтернеті. Потім Advanced Analytics створює поведінкові моделі для виявлення зловмисних дій користувача, наприклад, несанкціонованого доступу, щоб запобігти злому або крадіжці конфіденційних даних, що зберігаються в хмарі.

Узгодження виявлення зі структурою MITER ATT & CK

Неузгоджені систематики аналітиків і інструментів значно ускладнюють спільну роботу при виявленні і розслідуванні загроз. Платформа MITER ATT & CK вирішує цю проблему, надаючи аналітикам загальну основу для опису тактики і прийомів зловмисників. Advanced Analytics зіставляє методи виявлення Exabeam і мітки подій зі структурою MITER ATT & CK, дозволяючи аналітикам безпеки переглядати і фільтрувати методи MITER в Exabeam Smart Timelines. Аналітики можуть навести курсор миші на ярлики, щоб побачити спливаючий опис цього методу, або клацнути ярлики, щоб відкрити веб-сторінку MITER для більш докладного опису.

Динамічне групування однорангових вузлів

Патерни поведінки користувачів часто різняться в залежності від атрибутів, в тому числі групи, в якій працює користувач, в яких проектах він бере участь, де вони знаходяться і т.п. Щоб забезпечити додатковий рівень виявлення, динамічне групування однорангових вузлів використовує машинне навчання для призначення користувачів групи на основі їх поведінки, а потім порівнює свою діяльність з діяльністю цих груп для виявлення аномальної ризикованої поведінки.

Виявлення бічного руху

Бічний рух - це метод, який зловмисники використовують для переміщення по мережі з використанням IP-адрес, облікових даних і комп'ютерів в пошуках ключових активів. Відстеження утруднено, тому що дані повинні аналізуватися звідусіль, а журнали часто бувають неповними. Розширена аналітика дозволяє групам безпеки відстежувати пересування зловмисника, використовуючи запатентований зіставлення хост-IP-користувач, щоб заповнити прогалини в журналах, і приписувати всю активність користувачам або пристроям. Ця атрибуція в поєднанні з поліпшенням даних і додатковим контекстом забезпечує видимість ненормального поведінки і ризикованої діяльності.

Визначення приналежності та володаря пристрою

Одна з частин проведення розслідування безпеки - це ручний процес визначення того, хто володіє або регулярно використовує пристрої, що беруть участь в інциденті. Це неймовірно складно для служб безпеки. Запатентований Exabeam зіставлення хоста-IP-користувача в Advanced Analytics легко і ефективно дозволяє аналітикам визначати власника пристрою на основі їх поведінки і взаємодій.

Інші продукти виробника