Российский разработчик решений по информационной безопасности NGR Softlab выпустил обновление аналитической платформы Dataplan – версию 2.1. Изменения позволили повысить качество выявления аномалий и улучшить интерпретируемость результатов.
Ключевые нововведения коснулись модуля поведенческой аналитики xBA (класс решений UEBA). Расскажем подробнее об обновлениях.
В основном инструменте поиска аномалий – профилях – добавлен ряд функций и настроек:
1) при создании профиля теперь ряд полей заполняется нужными значениями автоматически. Это позволяет создавать поведенческие профили буквально в 5 – 7 кликов;

2) добавлена возможность поиска отклонений относительно только нижней или только верхней границы «нормального» поведения. Это позволяет увеличить скорость расчётов и, главное, снижать количество аномалий, которые далее необходимо рассматривать и оценивать с точки зрения безопасности информации. Ранее поиск выполнялся сразу относительно обоих границ (такая функция по-прежнему доступна);
3) расширен перечень периодов дискретизации, в рамках которых накапливаются данные и сравниваются с историческими значениями. Теперь, например, можно оценивать объёмы переданных данных не только в Байт/мин или Байт/час, а и Байт/10 мин или Байт/3 ч. Обновленный перечень делает более удобным интервалы оценки поведения со стороны аналитиков, которые работают с SIEM;
3) расширен перечень периодов дискретизации, в рамках которых накапливаются данные и сравниваются с историческими значениями. Теперь, например, можно оценивать объёмы переданных данных не только в Байт/мин или Байт/час, а и Байт/10 мин или Байт/3 ч. Обновленный перечень делает более удобным интервалы оценки поведения со стороны аналитиков, которые работают с SIEM;

4) добавлена возможность выбора размера «скользящего окна» – сдвигаемого интервала времени, данные за который используются для определения границ «нормального» поведения. Это позволяет точнее накапливать данные для более качественного выявления аномалий. Например, раньше параметры поведения в течение дня сравнивались с 30 предыдущими, что не всегда хорошо учитывало уход сотрудников в отпуск или на больничный. Теперь этот интервал можно расширить до 45 или 60 дней, что учтет изменение параметров в рамках таких событий;
5) снят ряд ограничений по использованию дополнительной группировки объектов контроля: раньше один объект мог входить только в одну группу и таких групп должно было быть не более 25, теперь эти ограничения полностью сняты. Это позволяет, например, оценивать отклонения в объемах переданных данных сразу по множеству протоколов или по множеству сетевых портов в рамках одного профиля. Раньше же необходимо было под каждый протокол создавать свой профиль;
6) добавлены функции редактирования названия осей графиков и интерпретации выявленных аномалий. Это позволяет использовать более четкое определение параметров профилирования и выявленных аномалий для снижения когнитивной нагрузки на аналитиков ИБ и других пользователей платформы.
5) снят ряд ограничений по использованию дополнительной группировки объектов контроля: раньше один объект мог входить только в одну группу и таких групп должно было быть не более 25, теперь эти ограничения полностью сняты. Это позволяет, например, оценивать отклонения в объемах переданных данных сразу по множеству протоколов или по множеству сетевых портов в рамках одного профиля. Раньше же необходимо было под каждый протокол создавать свой профиль;
6) добавлены функции редактирования названия осей графиков и интерпретации выявленных аномалий. Это позволяет использовать более четкое определение параметров профилирования и выявленных аномалий для снижения когнитивной нагрузки на аналитиков ИБ и других пользователей платформы.
Большое количество изменений внесено и в инструмент комплексной оценки поведения – метапрофили:
1) теперь данные по умолчанию отображаются не за весь доступный период времени, а по аналогии с профилями – за последний период дискретизации и некоторый ретроспективный интервал. Это позволило увеличить скорость расчётов метапрофиля, а также анализировать риск-скоринговую модель в привязке к более «свежим» данным;
1) теперь данные по умолчанию отображаются не за весь доступный период времени, а по аналогии с профилями – за последний период дискретизации и некоторый ретроспективный интервал. Это позволило увеличить скорость расчётов метапрофиля, а также анализировать риск-скоринговую модель в привязке к более «свежим» данным;

2) полезные сведения (ТОП-10 объектов контроля) теперь доступны сразу при открытии метапрофиля. Это призвано сократить время получение самой необходимой информации для принятия оперативного решения при расследовании инцидентов;
3) добавлен новый уровень данных в метапрофиле – отображает сводный перечень аномалий по всем профилям за выбранный интервал времени. Такая возможность позволяет сразу оценить, по какому набору параметров выявлены отклонения и как интерпретируются эти отклонения. Это значительно ускоряет процесс анализа результатов поведенческого профилирования;
4) добавлена возможность выбора в качестве фильтра результатов расчёта групп, которые были заданы в профилях. Такая функция позволяет выполнять комплексную оценку изменения паттерна поведения, например, при взаимодействии хостов по заданному порту или протоколу.
3) добавлен новый уровень данных в метапрофиле – отображает сводный перечень аномалий по всем профилям за выбранный интервал времени. Такая возможность позволяет сразу оценить, по какому набору параметров выявлены отклонения и как интерпретируются эти отклонения. Это значительно ускоряет процесс анализа результатов поведенческого профилирования;
4) добавлена возможность выбора в качестве фильтра результатов расчёта групп, которые были заданы в профилях. Такая функция позволяет выполнять комплексную оценку изменения паттерна поведения, например, при взаимодействии хостов по заданному порту или протоколу.

Внесённые изменения призваны упростить работу с модулем поведенческой аналитики, снизить нагрузку на пользователей платформы при расследовании инцидентов, повысить интерпретируемость результатов и дать возможность добавления большего бизнес-контекста в поведенческое профилирование.