Комплексная идентификация угрозы с анализом поведения Кибератаки становятся все сложнее. Часто правила корреляции не могут найти атаки, потому что им не хватает контекста или пропущенных инцидентов, которые они никогда не видели - генерирование ложных негативов. Правила корреляции также требуют значительного обслуживания. Advanced Analytics автоматически определяет поведение, указывающее на угрозу. Теперь командам не нужно тратить время на часто ошибочные правила корреляции.   Предварительно построенные сроки автоматически восстанавливают инциденты безопасности Аналитики не должны тратить дни или недели на сбор доказательств и построение сроков инцидентов путем опроса и поворота через их SIEM. С помощью Advanced Analytics заранее установленная временная шкала указывает на аномалии и отображает детали инцидента для всей сферы действия события и его контекста. Теперь аналитики могут перестать тратить время на рассылку сырых журналов для расследования инцидентов. То, что потребовалось несколько недель для изучения в устаревших SIEM, теперь можно сделать за несколько секунд.   Динамическая группировка  Шаблоны поведения пользователей часто различаются в зависимости от множества атрибутов, в том числе: команда, в которой они работают, какие проекты они участвуют, где они расположены, и многое другое. Таким образом, базовые линии поведения не должны быть статическими. Динамическая группировка  использует машинное обучение для назначения пользователей группам в зависимости от их поведения, а затем для сравнения их активности с тем из них, чтобы идентифицировать аномальное, рискованное поведение.     Локальное обнаружение движения Боковое перемещение - это метод, который злоумышленники используют для перемещения по сети с использованием IP-адресов, учетных данных и машин в поисках ключевых активов. Отслеживание сложно, потому что информация о трассировке сообщает только часть истории. Данные должны анализироваться повсюду, связывая атаку с источником. Запатентованная технология Advanced Analytics отслеживает предполагаемые действия, даже если есть изменения в устройствах, IP-адресах или учетных данных.   Ассоциация владельцев активов Еще одна важная часть проведения расследования безопасности - это ручной процесс определения того, кто владеет или регулярно использует устройства, участвующие в инциденте. У своих владельцев нет удобной привязки к базе данных ИТ-данных, и мобильные устройства могут существовать вне любого отслеживания. Advanced Analytics может определить владельца устройства на основе их поведения и взаимодействия.

Эта платформа включает в себя пять ключевых компонентов: Exabeam Log Manager: Exabeam Log Manager предлагает высокую производительность современной системы управления данными без моделей ценообразования на основе объема, которые обычно не позволяют клиентам полностью использовать имеющиеся у них данные. Для этого Exabeam построил Log Manager в популярном стеке Elasticsearch с открытым исходным кодом и объединил его компоненты с дополнительными функциональными подразделениями, требующими решения своей безопасности. Exabeam Log Manager работает на молниеносной скорости и может масштабироваться далеко за пределы возможностей устаревших технологий управления данными. Поскольку Log Manager был разработан для управления данными безопасности, он включает контекстно-зависимые возможности, которые упрощают использование аналитиками безопасности. Например, Log Manager анализирует необработанные данные - журналы, сеть, конечное устройство и т. д. - в модель информации безопасности и форматирует записи на основе их типов, выделяя наиболее релевантные поля для легкого визуального сканирования. Наконец, Exabeam упрощает пользовательский интерфейс Elastic с помощью нескольких настраиваемых компонентов, которые значительно улучшают рабочие процессы аналитика безопасности. Exabeam Advanced Analytics: расширенная аналитика Exabeam - это наиболее развернутое в мире решение для определения поведения пользователей и сущности (UEBA). Advanced Analytics обнаруживает инсайдерские угрозы, скомпрометированные учетные записи и потери данных через глубокое обучение и специализированные модели статистических рисков. Благодаря возможности точно моделировать поведение пользователей, сущностей и даже предупреждений о безопасности от других решений безопасности, Exabeam может быстро обнаруживать сложные угрозы, приоритизировать проверку безопасности и сократить время отклика расследований инцидентов.  Exabeam Incident Responder: Когда Exabeam обнаруживает угрозу инсайдера или другой инцидент, работа не завершена. Организации должны по-прежнему эффективно реагировать на новую угрозу. Exabeam автоматизирует процедуры реагирования посредством использования рабочих процессов. Exabeam Cloud Connectors: современные ИТ-среды сложны и распределены; часто включают множество облачных сервисов, которые выполняют важнейшие функции, такие как хранение файлов, электронная почта, CRM и многое другое. Облачные коннекторы Exabeam предлагают прямые возможности сбора журналов для множества популярных облачных сервисов, включая Salesforce.com, Box, Office365 и другие. Этот набор предустановленных соединителей дополняет естественные возможности сбора журналов Exabeam Log Manager, чтобы легко сообщать и анализировать активность и поведение пользователей в облаке наряду с активностью на внутренних системах. Exabeam Threat Hunter: где Exabeam Advanced Analytics использует методы машинного обучения для уведомления аналитика о возникающих угрозах, Exabeam Threat Hunter позволяет аналитикам безопасности искать и разворачивать различные аспекты активности пользователей, чтобы находить сеансы, которые содержат необычное поведение, или найти пользователей, которые соответствуют определенным критерии.