UEBA: пользователь в разных информационных системах
Cистемы анализа поведения пользователей и сущностей (User and Entity Behavior Analytics - UEBA) — решения, направленные на поиск и выявление аномалий в поведении пользователей, хостов и других объектов контроля.
Но кто же этот «пользователь» с точки зрения UEBA?
Можно сказать, что это «виртуальная» представленность человека в цифровом мире. Для комплексной оценки действий UEBA-решениям необходимо работать не только с обычным идентификатором пользователя в виде его логина, но и с другими вариантами его обозначения в разных информационных системах. Например:
• В операционной системе обычно пользователь представлен как учетная запись или UID (user identifier), которые часто совпадает с адресом электронной почты: например, uasya@bestcompany.ru.
• В прикладной системе, особенно если не используется доменная аутентификация, может использоваться любой числовой или буквенно-числовой идентификатор: например, ID 5555555.
• В системах двухфактороной аутентификации помимо основного «логина» обычно используется токен или уникальный зашифрованный идентификатор: например, 0xd8d1ec0c2d235d8789ea17c4f3.
• В государственных системах, как в частном случае прикладной системы, пользователи могут быть представлены в виде ИНН, СНИЛС и других идентификаторов: например, ИНН 500266666601 (любое совпадение случайно).
К сожалению, не все UEBA-решения умеют работать с разным представлением одних и тех же пользователей в разных системах. Так, для некоторых систем приходится отдельно составлять справочники, отражающие соответствие, менять данные информационных систем на эти данные и только потом подавать на вход в UEBA для анализа.
Есть решения, которые позволяют выполнять обогащение данных в «одном окне» и дальше использовать для анализа поведения. Одним из них является Dataplanс модулем поведенческой аналитики xBA Application. В нем можно:
подключить разные источники для анализа;
выполнить их обогащение;
при необходимости дополнительно распарсить, отфильтровать, агрегировать и выполнить другие операции по преобразованию;
построить аналитическую отчетность по действиям пользователей в разных информационных системах по разным параметрам;
использовать единую или уникальную идентификацию пользователей для удобства просмотра по ним результатов анализа.
Комплексная оценка поведения объектов контроля по данным из разных источников предотвратит вероятную утечку данных и выявит скрытые паттерны поведения, которые могут привести к возникновению разного рода рисков.