QRadar UBA 透過Machine Learning 用行為分析找出可疑的人員與帳號

基於不少重大資安攻擊起源於內部員工帳號密碼的身份權限被盜用,IBM將利用機器學習(Machine Learning)技術分析使用者與帳號行為,檢視企業內員工,甚至供應鏈中的外包合作廠商使用者行為模式,依據異常行為判斷內部權限是否已被竊取,以向管理人員發出警告。

有鑑於大規模資安攻擊越來越常見起源於部份內部員工的帳號密碼等身分權限遭竊取,IBM QRadar 推出 UBA 使用者行為分析應用,透過分析包括員工、外包商與合作夥伴等內部使用者行為模式,來判定其帳號密碼是否已經被外部攻擊者竊取,進而預防藉由取得內部權限進而發動更大規模的後續攻擊行為。

UBA Extension



目前針對商業組織的攻擊行為有高達60%與內部威脅有關,當中又有約四分之一肇因於內部用戶的帳密遭釣魚網站或惡意程式竊取,透過行為模式分析,則可提供 異常使用行為示警,例如某員工首次或在過去未曾嘗試登入的位置登入一個儲存高價值資訊的內部系統,便會向管理人員發出警示通知,提醒加強注意。

UBA Integration

 

什麼是 IBM QRadar User Behavior Analytics

IBM QRadar User Behavior Analytics (UBA) 用於全面深入地瞭解用戶異常行為和內部威脅,幫助用戶輕鬆洞悉內部威脅。這是 IBM QRadar Security Intelligence Platform 的擴展元件,用於分析內部人員的使用模式,以便確定他們的憑證或系統是否遭到網路罪犯的攻擊。

該應用包含以用戶為中心的儀表板,按名稱顯示高風險使用者及其異常活動,以及與 QRadar 相關的事件。只需按一下滑鼠即可將嫌疑人添加至觀察列表,或允許添加基於文本的注釋以說明觀察結果,還可以深入挖掘底層的日誌和流資料。

監視高風險活動,發現並管控內部威脅

IBM QRadar User Behavior Analytics (UBA) 擴展了 QRadar Security Intelligence Platform應用幫助企業輕鬆全面瞭解可能是內部威脅的個人用戶和異常行為,在與SIEM相同的管理介面上,添加了一個以用戶為中心的視圖,應用元件包括受監控使用者的數量、高風險用戶、風險類別、安全事件和攻擊行為、系統狀態以及使用者觀察清單,並依據不同行為進行風險權重加權。

IBM QRadar UBA 該系統包含三大部分,分別是協助分析並為員工行為風險評分的風險分析概覽、優先排序行為分析儀表板,以及強化既有QRadar安全資料等。

IBM QRadar User Behavior Analytics (UBA) 儀表板

UBA 1

Machine Learning 找出偏離之行為

UBA MachineLearning

 

IBM QRadar UBA 能快速偵測異常行為在下面各種情境:
  • A user login location is changed
  • A user accesses the network for the first time
  • A user accesses high-value systems for the first time.
  • A user performs an action with rarely used privileges
  • A user accesses a privileged user account for the first time
  • A first-time use of privileges in a user account
  • An account is active at unusual times or from unusual locations
  • A suspended account is used
  • An attempt to access the network from a canceled or a closed user account
  • A restricted or under-watch website (or host) is accessed
IBM QRadar UBA能偵測帳號密碼被盗用:
  • A login failure
  • An account is used suddenly after a long time
  • A user logs in simultaneously (or very close in time) from multiple locations
  • A user accesses the VPN account from unusual locations
  • A user accesses the VPN account at unusual times
  • A user account is used for an abnormal volume of activity
  • A dormant account that has access to important assets becomes active
  • A user accesses an account that is coming from an anonymous server (or a suspicious jump server)

為何需要使用 IBM QRadar User Behavior Analytics

內部威脅占到企業所遭受安全攻擊的大約 60%,其中許多情況是由於內部員工、合同工或合作夥伴成為網路釣魚攻擊或其他攻擊的受害者,而使用戶憑證落入駭客之手所致。

例如,當用戶使用特權帳戶在新位置第一次登入到高價值的伺服器時,這種新的用戶行為分析應用會向分析人員發出警報。由於 UBA 應用解決方案建立了正常用戶行為的基線,因此所有明顯偏離該基線的異常模式都無所遁形。

內部威脅占到企業所遭受安全攻擊的大約 60%

IBM QRadar User Behavior Analytics 有哪些優點?

擴展了 IBM QRadar Security Intelligence Platform 的功能

  • 包含全新的整合儀表板
  • 結合了用戶行為分析功能
  • 幫助安全分析人員洞悉個人用戶和異常行為

應對內部威脅

  • 防止惡意的內部人員和網路罪犯使用洩露的憑證
  • 以用戶為重點,檢查異常行為、威脅以及資料洩露情況
  • 全面深入地瞭解高風險用戶及其行為

提高安全分析人員的工作效率

  • 計算風險分數,對高風險使用者進行排名
  • 使用 QRadar 收集的資料,應用現成可用的新行為規則和分析
  • 顯示安全攻擊所涉及的日誌與流資料
  • 檢測異常行為,建立用戶觀察列表
  • 在新的 QRadar 選項卡和儀表板中按使用者顯示結果
  • 事件響應解決方案整合,更快地形成閉環
  • 佈署後幾乎立即可以產生結果

UBA 相關資料