MEDOED UEBA — продвинутая аналитика для обнаружения угроз и аномалий
Аналитика поведения пользователей и сущностей для выявления скрытых угроз и аномальной активности в вашей ИТ-инфраструктуре
Что такое UEBA?
UEBA (User and Entity Behavior Analytics) — аналитика поведения пользователей и сущностей (поведенческий анализ пользователей и сущностей).
Модуль MEDOED UEBA представляет собой набор технологий, которые позволяют анализировать поведение пользователей (поведенческая аналитика), а также серверов и рабочих станций с целью выявления аномалий, указывающих на возможные угрозы безопасности.
MEDOED UEBA осуществляет постоянный мониторинг событий информационной безопасности, анализирует данные и регистрирует подозрительные изменения в состоянии безопасности.
Преимущества MEDOED UEBA
Модуль позволяет детектировать аномалии, а также выявить целевую атаку, которую пропустили другие решения и механизмы безопасности.
Эффективность обнаружения угроз различными системами
Преимущества MEDOED UEBA
Обнаружение инсайдерских угроз
Выявление аномального поведения сотрудников и внутренних угроз безопасности.
Машинное обучение
Использование ML-алгоритмов для выявления сложных и скрытых угроз.
Реальное время
Мониторинг и обнаружение угроз в режиме реального времени.
Эволюция технологии поведения
UBA
(User Behavior Analytics)
Более ранняя версия технологии, фокусировалась только на поведении пользователей
UEBA
(User and Entity Behavior Analytics)
Расширяет подход, включая не только пользователей, но и другие сущности (Entity)
Технология эволюционировала от анализа только пользователей к анализу всех сущностей: серверов, устройств, приложений
Сравнение технологий безопасности
SIEM vs UEBA
В отличие от SIEM-систем MEDOED UEBA фокусируется не на логах и журналах событий, а на поведении пользователей и сущностей, формирует поведенческие паттерны и выявляет аномалии в поведении. UEBA усиливает SIEM — помогает детектировать те угрозы, которые не попадают под стандартные правила.
EDR vs UEBA
В отличие от EDR-систем, которые осуществляют сигнатурный анализ, UEBA выявляет аномалии без явных сигнатур.
| Характеристика | SIEM | EDR | UEBA |
|---|---|---|---|
| Основной фокус | Сбор и корреляция логов | Защита конечных точек | Поведенческий анализ |
| Обнаружение аномалий | Ограниченно | Сигнатурный анализ | Поведенческие паттерны |
| Выявление инсайдерских угроз | Слабо | Слабо | Эффективно |
| Требует сигнатур | Да | Да | Нет |
Соответствие требованиям регуляторов
MEDOED UEBA может быть использовано для соблюдения стандартов и нормативных требований, таких как:
Как работает модуль MEDOED UEBA
Источники данных
Такие источники, как логи (Windows, Linux), сеть, proxy, почта, приложения, IAM и AD имеют альтернативу в виде агента MEDOED, который собирает критически важную информацию в реальном времени (real time monitoring UEBA).
Построение профиля поведения
Базовая норма, peer group, модели сравнения. Всё это выполняется в автоматическом режиме после сбора данных и помогает выявлять в том числе инсайдерские угрозы (insider threats detection).
Методы анализа
Мы применяем ML (ML-базовые сигналы угроз, ML-анализ активности в сети) и нейросети, в то время как статистика, SVM, деревья решений, градиентный спуск не используются по причине малой эффективности.
Обнаружение аномалий (anomaly detection)
Оценка риска, приоритезация, автоматическое сигнализирование — эти результаты в понятной форме доступны пользователям системы MEDOED. Вы получите надежную защиту от компрометации аккаунтов. Наша система автоматически реагирует на угрозы, в том числе выявляет потенциальные DDoS-подобные активности.
Варианты использования
MEDOED UEBA может быть использовано как самостоятельное решение, которое помогает своевременно обнаруживать аномалии и реагировать на них. Также MEDOED UEBA может использоваться в качестве источника, который поможет обогатить данные других систем безопасности, например, имеющейся в компании SIEM-системы.