防御内部和外部攻击的最佳方法之一是使用用户和实体行为分析(UEBA)来持续监视用户和设备活动,UEBA了解每个用户并为每个用户和实体创建常规活动的基线。
任何偏离基线的活动都会被标记为异常。然后,IT管理员可以调查问题并采取必要的步骤来降低风险。在机器学习的支持下,UEBA解决方案获得的经验越多,就越有效。
Log360 UEBA分析来自不同来源的日志,包括防火墙、路由器、工作站、数据库和文件服务器。任何偏离正常行为的行为都被归类为时间、计数或模式异常。然后,通过使用风险评分、异常趋势和直观的报表,为IT管理员提供可操作的见解。
CISCONet ScreenSophosPalo AltoWatch GuardWindows
CiscoHewlett Pakard
Windows 10Windows 8.1 Windows 8 Windows 7 Windows Vista Windows XP Prof. X64 ed. Windows XP
Window Server 2019 Window Server 2016 Window Server 2012 Window Server 2012 R2 Window Server 2008 Window Server 2008 R2 Window Server 2003 Window Server 2003 R2
OracleSQL ServerMy SQL
Windows Servers
查看报表,如:
登录报表 文件活动报表 登录失败报表 防火墙变更报表 配置变更报表
所有用于生成报表的数据都可以以图形形式查看。
UEBA为每个用户和实体配置文件维护风险评分。每当用户/实体的活动日志与其基线不同时,该特定概要的风险得分就会增加。配置文件的风险评分增加有助于IT管理员立即调查此事,以防止任何安全漏洞。
图形化地展示给定时间段内异常数量的变化。
在将每个用户和组织中的实体的操作与其常规活动的基线进行比较之后,将计算出它们的风险得分。风险评分范围从0到100,分别表示没有风险到最大风险。风险评分取决于以下因素:行动的分配权重、偏离基线的程度、偏离的频率以及偏离发生的时间。
除了总体风险评分外,每个用户和实体还将有内部威胁、账户泄露和数据泄露的相关风险评分。如果IT管理员觉得某个实体或用户的风险得分过高,他们可以进一步调查,并迅速阻止任何潜在的灾难。
以下是一些可能会增加用户和实体风险得分的活动,表明可能存在内部威胁、账户泄露和数据泄露。
抵御复杂的威胁。
学习使用Log360 UEBA。