MEDOED UEBA
продвинутая аналитика для обнаружения угроз и аномалий
UEBA (User and Entity Behavior Analytics) — аналитика поведения пользователей и сущностей (поведенческий анализ пользователей и сущностей).
Модуль MEDOED UEBA представляет собой набор технологий, которые позволяют анализировать поведение пользователей (поведенческая аналитика), а также серверов и рабочих станций с целью выявления аномалий, указывающих на возможные угрозы безопасности.
MEDOED UEBA осуществляет постоянный мониторинг событий информационной безопасности, анализирует данные и регистрирует подозрительные изменения в состоянии безопасности. Модуль позволяет детектировать аномалии, а также выявить целевую атаку, которую пропустили другие решения и механизмы безопасности.
MEDOED UEBA может быть использовано как самостоятельное решение, которое помогает своевременно обнаруживать аномалии и реагировать на них. Также MEDOED UEBA может использоваться в качестве источника, который поможет обогатить данные других систем безопасности, например, имеющейся в компании SIEM-системы.
Что такое UEBA и зачем он нужен?
(User Behavior Analytics)
(User and Entity Behavior Analytics)
SIEM vs UEBA
В отличие от SIEM-систем MEDOED UEBA фокусируется не на логах и журналах событий, а на поведении пользователей и сущностей, формирует поведенческие паттерны и выявляет аномалии в поведении. UEBA усиливает SIEM — помогает детектировать те угрозы, которые не попадают под стандартные правила.
EDR vs UEBA
В отличие от EDR-систем, которые осуществляют сигнатурный анализ, UEBA выявляет аномалии без явных сигнатур.
Также систему можно использовать для соблюдения стандартов и нормативных требований, таких как:
ФЗ-152
MEDOED UEBA может помочь в мониторинге действий сотрудников, которые работают с персональными данными, и выявлять потенциальные нарушения законодательства, такие как несанкционированный доступ или передача данных.
Защита данных платежных систем
MEDOED UEBA может использоваться для отслеживания аномалий в работе с платежной информацией, например, выявлять подозрительные активности сотрудников или несанкционированный доступ к данным платежных карт.
ФЗ-326
MEDOED UEBA может отслеживать доступ к медицинской информации и выявлять аномальные действия, которые могут представлять угрозу конфиденциальности медицинских данных.
Как работает модуль MEDOED UEBA
Источники данных
- Такие источники, как логи (Windows, Linux), сеть, proxy, почта, приложения, IAM и AD имеют альтернативу в виде агента MEDOED, который собирает критически важную информацию в реальном времени (real time monitoring UEBA).
Построение профиля поведения
- Базовая норма, peer group, модели сравнения. Всё это выполняется в автоматическом режиме после сбора данных и помогает выявлять в том числе инсайдерские угрозы (insider threats detection).
Методы анализа
- Мы применяем ML (ML-базовые сигналы угроз, ML-анализ активности в сети) и нейросети, в то время как статистика, SVM, деревья решений, градиентный спуск не используются по причине малой эффективности.
Обнаружение аномалий (anomaly detection)
- Оценка риска, приоритезация, автоматическое сигнализирование — эти результаты в понятной форме доступны пользователям системы MEDOED. Вы получите надежную защиту от компрометации аккаунтов. Наша система автоматически реагирует на угрозы, в том числе выявляет потенциальные DDoS-подобные активности.
Агентный кейлоггер сохраняет вводимый пользователем текст с указанием приложения или окна браузера, в котором он был набран. С помощью нейросетевых алгоритмов система может идентифицировать пользователя даже в том случае, если он вошел под чужой учетной записью. Также система собирает данные о том, какие программы и приложения обычно использует пользователь, что позволяет более полно выстроить поведенческое моделирование.
- Например, если оператор call-центра внезапно начинает использовать командную строку вместо HelpDesk-системы, это может стать сигналом об инциденте.
Данные, собранные по активностям пользователей, позволят провести анализ рабочего времени (вход в систему и время последней активности), часто используемые приложения, произвести поиск по набранному ими тексту.
- Позволяет оценить, насколько эффективно пользователь использует рабочее время, и выявить отклонения в графике работы, например, работу за пределами рабочего времени (анализ отклонений поведения), что может быть признаком угрозы безопасности или нарушения дисциплины. На основе данных производится оценка риска поведения (risk scoring).
- Возможность мониторинга текста помогает предотвратить утечки конфиденциальной информации, таких как передача коммерческой тайны, персональных данных или другой защищённой информации
Агентный учет программного обеспечения будет основой для создания списка ПО, по которому будет производится мониторинг работы пользователя.
Решение может быть развернуто как в облачной среде (с использованием настроенного агента и прокси-сервера), так и в коробочной версии. Техническая поддержка предоставляется по электронной почте при наличии активной подписки на обновления.
Основные кейсы (Use cases) применения UEBA
Наибольшую эффективность MEDOED UEBA показывает при выявлении инсайдерской угрозы, а также в случае компрометации учетных записей на рабочих станциях сотрудников.
Благодаря статистическому анализу поведения и встроенной технологии «Клавиатурный почерк» с точностью до 97% выявляется использование рабочей станции другими лицами.
Преимущества UEBA в MEDOED
ФСТЭК, ФСБ, обеспечение КИИ
Повышение точности мониторинга
Высокий ROI, быстрое обнаружение угроз
Машинное обучение (machine learning) на данных клиента в UEBA