ПоставщикамБлог

Аналитика поведения пользователей и объектов

Аналитика поведения пользователей и объектов

Cистемы анализа поведения пользователей и сущностей (User and Entity Behavior Analytics - UEBA) — решения, направленные на поиск и выявление аномалий в поведении пользователей и различных систем.

Класс решений поведенческого анализа появился в связи с тем, что для обеспечения информационной безопасности в компаниях внедряют множество различных систем сбора данных. При этом сотрудники не всегда способны просматривать все полученные сведения и вовремя реагировать на потенциальные инциденты. Составляя профили, системы UEBA повышают эффективность и обеспечивают своевременное реагирование на возможные утечки данных.

Системы UEBA крайне близки к решениям поведенческого анализа пользователей (UBA) и, по сути, являются их продолжением. Отличием этих систем друг от друга служит наличие в UEBA профилирования и анализа сущностей, под которыми понимаются приложения, системы хранения данных, сетевой трафик, устройства, серверы и данные. Помимо этого, системы UEBA позволяют решать проблемы не только внутренних утечек конфиденциальных данных, но и внешних целенаправленных на систему атак. В виду расширения объектов анализа, в системе создаются профили не только пользователей, но и различных сущностей, что позволяет своевременно реагировать на скомпрометированные активы и объекты инфраструктуры. Кроме того, системы UBA обычно реализованы в виде отдельных решений под определенные задачи. Они могут самостоятельно функционировать без интеграции с другими решениями, в то время как UEBA поставляются в рамках платформы и могут использовать данные других систем.

Наличие анализа поведения сущностей расширяет возможности системы и отражает тот факт, что сетевые устройства могут в равной мере использоваться в сетевой атаке, и составление модели их поведения может быть полезным при обнаружении активности атаки.

Наиболее популярные продукты категории Аналитика поведения пользователей и объектов Все продукты категории

RAPID7 insightIDR
7
14
IBM QRADAR UBA
IBM
6
5
PALO ALTO NETWORKS LightCyber
1
7
MICROSOFT Advanced Threat Analytics
1
20
FORCEPOINT User and Entity Behavior Analytics (UEBA)
4
12
FORCEPOINT SureView Analytics
10
8
AMAZON Pinpoint
5
5
RHEBO Industrial Protector
18
16
DRAGOS Industrial Cybersecurity Platform
5
0
Securonix Enterprise
2
3
FORTSCALE UEBA
17
2
DNIF USER BEHAVIOR ANALYTICS
2
8

Сравнение продуктов в категории Аналитика поведения пользователей и объектов

Поверните пожалуйста экран для оптимального отображения контента

Сравниваем: Аналитика поведения пользователей и объектов

Характеристики

Hadoop

Облачные среды

Локальное программное обеспечение

Продвинутая аналитика

Реагирование на инциденты

Машинное обучение

Глубокое обучение

Видимость действий пользователей через отчеты и инфопанели

Оповещения в реальном времени

Инструментарий криминалистической экспертизы

Настраиваемое уведомление

Ролевой доступ к отчетам

Отчеты об угрозах

Модель лицензирования, основанная на сущностях

Интеграция с технологиями

Сбор логов из SaaS-приложений

Логи и пользовательский контекст данных из Active Directory

Логи событий безопасности из конечной точки

Сетевой поток/Пакетные данные

Неструктурированные контекстные данные

Сбор логов из ОС, приложений, серисов

Метаданные электронных сообщений

Статистические модели

Моделирование на основе правил и подписей

Поимка базовой моделью пользователей с аномальным поведением на старте

Адаптация системы к динамическим изменениям пользователей

  • N/A
  • N/A
  • N/A
  • N/A
  • Да
  • N/A
  • Да
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • Да
  • Да
  • N/A
  • Да
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • N/A
  • Только HP UEBA
  • Да
  • N/A
  • N/A
  • Да
  • N/A
  • SIEM
  • IAM
  • DLP
  • SIEM
  • IAM
  • DLP
  • N/A
  • N/A
  • SIEM
  • N/A
  • N/A
  • IAM
  • DLP
  • SIEM
  • DLP
  • SIEM
  • DLP
  • SIEM
  • IAM
  • SIEM
  • SIEM
  • SIEM
  • IAM
  • SIEM
  • IAM
  • DLP
  • N/A
  • SIEM
  • IAM
  • DLP
  • SIEM
Нашли ошибку? Напишите нам.

Поставщики Аналитика поведения пользователей и объектов

Amazon Web Services
ARE...
  • ARE
  • AUS
  • BHR
  • BRA
  • CAN
  • CHE
  • CHN
  • DEU
  • ESP
  • FRA
  • GBR
  • IDN
  • IRL
  • ISR
  • IND
  • ITA
  • JPN
  • KOR
  • NZL
  • SWE
  • SGP
  • THA
  • USA
Rapid7
ARM...
  • ARM
  • AZE
  • GEO
  • KGZ
  • KAZ
  • MDA
  • TJK
  • TKM
  • UKR
  • UZB
Softprom (supplier)
ARM...
  • ARM
  • AUT
  • GEO
  • KAZ
  • MDA
  • UKR
ANYSOFT
UKR...
  • UKR
  • USA
Claroty
AUS...
  • AUS
  • DEU
  • GBR
  • ISR
  • KOR
  • SGP
  • USA
Nozomi Networks
ARE...
  • ARE
  • AUS
  • BRA
  • CAN
  • CHE
  • DEU
  • DNK
  • ESP
  • GBR
  • ITA
  • NLD
  • PRT
  • SGP
  • USA
CUJO
AUS...
  • AUS
  • BRA
  • CHN
  • FIN
  • GBR
  • HUN
  • LTU
  • MYS
  • PHL
  • USA
Eurotech
FRA...
  • FRA
  • GBR
  • ITA
  • JPN
  • USA
Netskope
AUS...
  • AUS
  • GBR
  • IND
  • NLD
  • SGP
  • USA
Cofense
ARE...
  • ARE
  • AUS
  • GBR
  • IRL
  • ISR
  • IND
  • PHL
  • USA
BioCatch
AUS...
  • AUS
  • BRA
  • GBR
  • ISR
  • IND
  • MEX
  • SGP
  • USA
Cleafy
BRA...
  • BRA
  • DEU
  • ESP
  • ITA
  • NLD
  • SVN
  • USA
Kiteworks
AUT...
  • AUT
  • AUS
  • BRA
  • CHE
  • DEU
  • FRA
  • GBR
  • IRL
  • ISR
  • MEX
  • NZL
  • SAU
  • SGP
  • USA
Cloudera
ARE...
  • ARE
  • AUS
  • BRA
  • CAN
  • CHE
  • CHL
  • CHN
  • CRI
  • DEU
  • FRA
  • GBR
  • HUN
  • IDN
  • IRL
  • IND
  • JPN
  • KOR
  • NLD
  • SGP
  • USA

Производители Аналитика поведения пользователей и объектов

Microsoft
Все страны
Amazon Web Services
ARE...
  • ARE
  • AUS
  • BHR
  • BRA
  • CAN
  • CHE
  • CHN
  • DEU
  • ESP
  • FRA
  • GBR
  • IDN
  • IRL
  • ISR
  • IND
  • ITA
  • JPN
  • KOR
  • NZL
  • SWE
  • SGP
  • THA
  • USA
Barracuda Networks
AUT...
  • AUT
  • AUS
  • BEL
  • CAN
  • CHE
  • CHN
  • DEU
  • FRA
  • GBR
  • IRL
  • ISR
  • IND
  • ITA
  • JPN
  • LIE
  • LKA
  • LUX
  • MYS
  • NPL
  • NZL
  • PRT
  • SGP
  • USA
Rapid7
ARM...
  • ARM
  • AZE
  • GEO
  • KGZ
  • KAZ
  • MDA
  • TJK
  • TKM
  • UKR
  • UZB
Securonix
Все страны
Splunk
Все страны
Acronis
AUS...
  • AUS
  • BGR
  • CHE
  • DEU
  • FRA
  • ITA
  • JPN
  • KOR
  • ROU
  • SGP
  • TUR
  • USA
  • SRB
SAS
Все страны
Aruba, a Hewlett Packard Enterprise Company
ARE...
  • ARE
  • AUT
  • AUS
  • BEL
  • CAN
  • CHE
  • CHN
  • DEU
  • DNK
  • ESP
  • FIN
  • FRA
  • GBR
  • IDN
  • IRL
  • IND
  • JPN
  • KOR
  • MYS
  • NLD
  • NOR
  • NZL
  • PRT
  • SWE
  • SGP
  • THA
  • TWN
  • USA
  • ZAF
Claroty
AUS...
  • AUS
  • DEU
  • GBR
  • ISR
  • KOR
  • SGP
  • USA
Nozomi Networks
ARE...
  • ARE
  • AUS
  • BRA
  • CAN
  • CHE
  • DEU
  • DNK
  • ESP
  • GBR
  • ITA
  • NLD
  • PRT
  • SGP
  • USA
CUJO
AUS...
  • AUS
  • BRA
  • CHN
  • FIN
  • GBR
  • HUN
  • LTU
  • MYS
  • PHL
  • USA
Eurotech
FRA...
  • FRA
  • GBR
  • ITA
  • JPN
  • USA
Netskope
AUS...
  • AUS
  • GBR
  • IND
  • NLD
  • SGP
  • USA
Cofense
ARE...
  • ARE
  • AUS
  • GBR
  • IRL
  • ISR
  • IND
  • PHL
  • USA
empow
Все страны
LogRhythm
Все страны
VIPRE Security
Все страны
BioCatch
AUS...
  • AUS
  • BRA
  • GBR
  • ISR
  • IND
  • MEX
  • SGP
  • USA
Cleafy
BRA...
  • BRA
  • DEU
  • ESP
  • ITA
  • NLD
  • SVN
  • USA
ARCON
AUS...
  • AUS
  • IND
  • USA

F.A.Q. Аналитика поведения пользователей и объектов

Что такое UEBA?

Хакеры могут взломать брандмауэры, отправить вам электронные письма с вредоносными и зараженными вложениями или даже подкупить сотрудника, чтобы получить доступ к вашим брандмауэрам. Старые инструменты и системы быстро устаревают, и есть несколько способов их обойти.

Анализ поведения пользователей и организаций (UEBA) дает вам более комплексный способ убедиться, что ваша организация обладает первоклассной ИТ-безопасностью, а также помогает выявлять пользователей и организации, которые могут поставить под угрозу всю вашу систему.

UEBA - это тип процесса кибербезопасности, который учитывает нормальное поведение пользователей. В свою очередь, они обнаруживают любое аномальное поведение или случаи, когда есть отклонения от этих «нормальных» паттернов. Например, если конкретный пользователь регулярно загружает 10 МБ файлов каждый день, но внезапно загружает гигабайты файлов, система сможет обнаружить эту аномалию и немедленно предупредить их.

UEBA использует машинное обучение, алгоритмы и статистический анализ, чтобы узнать, когда есть отклонение от установленных шаблонов, показывая, какие из этих аномалий могут привести к потенциальной, реальной угрозе. UEBA также может объединять данные, которые вы имеете в своих отчетах и ​​журналах, а также анализировать информацию о файлах, потоках и пакетах.

В UEBA вы не отслеживаете события безопасности и не отслеживаете устройства; вместо этого вы отслеживаете всех пользователей и сущностей в вашей системе. Таким образом, UEBA фокусируется на внутренних угрозах, таких как сотрудники, которые стали мошенниками, сотрудники, которые уже скомпрометированы, и люди, которые уже имеют доступ к вашей системе, а затем проводят целевые атаки и попытки мошенничества, а также серверы, приложения, и устройства, которые работают в вашей системе.

Каковы преимущества UEBA?

К сожалению, современные инструменты кибербезопасности быстро устаревают, и теперь более опытные хакеры и кибер-злоумышленники могут обойти защиту периметра, используемую большинством компаний. В старые времена вы были в безопасности, если у вас были веб-шлюзы, брандмауэры и инструменты предотвращения вторжений. Это больше не относится к сегодняшнему сложному ландшафту угроз, и это особенно верно для крупных корпораций, у которых, как доказано, есть очень пористые периметры ИТ, которыми также очень трудно управлять и контролировать.

В чем суть? Профилактических мер уже недостаточно. Ваши брандмауэры не будут на 100% надежными, и хакеры и злоумышленники попадут в вашу систему в тот или иной момент. Вот почему обнаружение не менее важно: когда хакеры успешно проникнут в вашу систему, вы сможете быстро обнаружить их присутствие, чтобы минимизировать ущерб.

Как работает UEBA?

Предпосылка UEBA на самом деле очень проста. Вы можете легко украсть имя пользователя и пароль сотрудника, но гораздо труднее имитировать его обычное поведение, находясь в сети.

Например, допустим, вы украли пароль и имя пользователя Джейн Доу. Вы все равно не сможете действовать точно так же, как Джейн Доу, однажды в системе, если не будете проводить обширные исследования и подготовку. Поэтому, когда имя пользователя Джейн Доу вошло в систему, и ее поведение отличается от обычного поведения Джейн Доу, то есть, когда начинают звучать предупреждения UEBA.
Еще одна аналогия может быть связана с кражей вашей кредитной карты. Вор может украсть ваш кошелек, пойти в магазин высокого класса и начать тратить тысячи долларов, используя вашу кредитную карту. Если ваши расходы на эту карту отличаются от воровских, отдел обнаружения мошенничества компании часто распознает ненормальные расходы и блокирует подозрительные покупки, отправляя вам предупреждение или прося вас подтвердить подлинность транзакции.

Таким образом, UEBA является очень важным компонентом информационной безопасности, позволяя вам:

1. Обнаружение внутренних угроз. Не так уж и сложно представить, что сотрудник или, возможно, группа сотрудников могут совершать мошеннические действия, красть данные и информацию, используя свой собственный доступ. UEBA может помочь вам обнаружить утечки данных, саботаж, злоупотребление привилегиями и нарушения политики, совершенные вашим собственным персоналом.

2. Обнаружение скомпрометированных учетных записей. Иногда учетные записи пользователей скомпрометированы. Может случиться так, что пользователь невольно установил вредоносное ПО на свою машину, а иногда и поддельный аккаунт был подделан. UEBA может помочь вам отсеять поддельных и скомпрометированных пользователей, прежде чем они смогут нанести реальный вред.

3. Обнаружить атаки методом перебора. Хакеры иногда нацеливаются на ваши облачные сущности, а также на сторонние системы аутентификации. С помощью UEBA вы можете обнаруживать попытки перебора, что позволяет блокировать доступ к этим объектам.

4. Обнаружение изменений в разрешениях и создании суперпользователей. Некоторые атаки связаны с использованием суперпользователей. UEBA позволяет вам определять, когда создаются суперпользователи, или есть ли учетные записи, которым были предоставлены ненужные разрешения.

5. Обнаружение взлома защищенных данных. Если у вас есть защищенные данные, недостаточно просто сохранить их в безопасности. Вы должны знать, когда пользователь получает доступ к этим данным, когда у него нет веских коммерческих причин для доступа к ним.

Материалы