Блог

UEBA: пользователь в разных информационных системах

Cистемы анализа поведения пользователей и сущностей (User and Entity Behavior Analytics - UEBA) — решения, направленные на поиск и выявление аномалий в поведении пользователей, хостов и других объектов контроля.

Но кто же этот «пользователь» с точки зрения UEBA?
Можно сказать, что это «виртуальная» представленность человека в цифровом мире. Для комплексной оценки действий UEBA-решениям необходимо работать не только с обычным идентификатором пользователя в виде его логина, но и с другими вариантами его обозначения в разных информационных системах. Например:

В операционной системе обычно пользователь представлен как учетная запись или UID (user identifier), которые часто совпадает с адресом электронной почты: например, uasya@bestcompany.ru.

В прикладной системе, особенно если не используется доменная аутентификация, может использоваться любой числовой или буквенно-числовой идентификатор: например, ID 5555555.

В системах двухфактороной аутентификации помимо основного «логина» обычно используется токен или уникальный зашифрованный идентификатор: например, 0xd8d1ec0c2d235d8789ea17c4f3.

В государственных системах, как в частном случае прикладной системы, пользователи могут быть представлены в виде ИНН, СНИЛС и других идентификаторов: например, ИНН 500266666601 (любое совпадение случайно).

К сожалению, не все UEBA-решения умеют работать с разным представлением одних и тех же пользователей в разных системах. Так, для некоторых систем приходится отдельно составлять справочники, отражающие соответствие, менять данные информационных систем на эти данные и только потом подавать на вход в UEBA для анализа.

Есть решения, которые позволяют выполнять обогащение данных в «одном окне» и дальше использовать для анализа поведения. Одним из них является Dataplan с модулем поведенческой аналитики xBA Application. В нем можно:

  • подключить разные источники для анализа;
  • выполнить их обогащение;
  • при необходимости дополнительно распарсить, отфильтровать, агрегировать и выполнить другие операции по преобразованию;
  • построить аналитическую отчетность по действиям пользователей в разных информационных системах по разным параметрам;
  • использовать единую или уникальную идентификацию пользователей для удобства просмотра по ним результатов анализа.

Комплексная оценка поведения объектов контроля по данным из разных источников предотвратит вероятную утечку данных и выявит скрытые паттерны поведения, которые могут привести к возникновению разного рода рисков.