Cистемы анализа поведения пользователей и сущностей (User and Entity Behavior Analytics - UEBA) — решения, направленные на поиск и выявление аномалий в поведении пользователей, хостов и других объектов контроля.
Но кто же этот «пользователь» с точки зрения UEBA?
Но кто же этот «пользователь» с точки зрения UEBA?
Можно сказать, что это «виртуальная» представленность человека в цифровом мире. Для комплексной оценки действий UEBA-решениям необходимо работать не только с обычным идентификатором пользователя в виде его логина, но и с другими вариантами его обозначения в разных информационных системах. Например:
• В операционной системе обычно пользователь представлен как учетная запись или UID (user identifier), которые часто совпадает с адресом электронной почты: например, uasya@bestcompany.ru.
• В прикладной системе, особенно если не используется доменная аутентификация, может использоваться любой числовой или буквенно-числовой идентификатор: например, ID 5555555.
• В системах двухфактороной аутентификации помимо основного «логина» обычно используется токен или уникальный зашифрованный идентификатор: например, 0xd8d1ec0c2d235d8789ea17c4f3.
• В государственных системах, как в частном случае прикладной системы, пользователи могут быть представлены в виде ИНН, СНИЛС и других идентификаторов: например, ИНН 500266666601 (любое совпадение случайно).
К сожалению, не все UEBA-решения умеют работать с разным представлением одних и тех же пользователей в разных системах. Так, для некоторых систем приходится отдельно составлять справочники, отражающие соответствие, менять данные информационных систем на эти данные и только потом подавать на вход в UEBA для анализа.
Есть решения, которые позволяют выполнять обогащение данных в «одном окне» и дальше использовать для анализа поведения. Одним из них является Dataplan с модулем поведенческой аналитики xBA Application. В нем можно:
Комплексная оценка поведения объектов контроля по данным из разных источников предотвратит вероятную утечку данных и выявит скрытые паттерны поведения, которые могут привести к возникновению разного рода рисков.
• В операционной системе обычно пользователь представлен как учетная запись или UID (user identifier), которые часто совпадает с адресом электронной почты: например, uasya@bestcompany.ru.
• В прикладной системе, особенно если не используется доменная аутентификация, может использоваться любой числовой или буквенно-числовой идентификатор: например, ID 5555555.
• В системах двухфактороной аутентификации помимо основного «логина» обычно используется токен или уникальный зашифрованный идентификатор: например, 0xd8d1ec0c2d235d8789ea17c4f3.
• В государственных системах, как в частном случае прикладной системы, пользователи могут быть представлены в виде ИНН, СНИЛС и других идентификаторов: например, ИНН 500266666601 (любое совпадение случайно).
К сожалению, не все UEBA-решения умеют работать с разным представлением одних и тех же пользователей в разных системах. Так, для некоторых систем приходится отдельно составлять справочники, отражающие соответствие, менять данные информационных систем на эти данные и только потом подавать на вход в UEBA для анализа.
Есть решения, которые позволяют выполнять обогащение данных в «одном окне» и дальше использовать для анализа поведения. Одним из них является Dataplan с модулем поведенческой аналитики xBA Application. В нем можно:
- подключить разные источники для анализа;
- выполнить их обогащение;
- при необходимости дополнительно распарсить, отфильтровать, агрегировать и выполнить другие операции по преобразованию;
- построить аналитическую отчетность по действиям пользователей в разных информационных системах по разным параметрам;
- использовать единую или уникальную идентификацию пользователей для удобства просмотра по ним результатов анализа.
Комплексная оценка поведения объектов контроля по данным из разных источников предотвратит вероятную утечку данных и выявит скрытые паттерны поведения, которые могут привести к возникновению разного рода рисков.