Splunk User Behavior Analytics

Sicherheit durch die Verhaltensanalyse von Benutzern und Entitäten

Schutz vor Insider-Bedrohungen durch Machine Learning

Splunk User Behavior Analytics (UBA) ist eine auf Machine Learning gestützte Lösung, die die nötigen Antworten liefert, damit Sie unbekannte Bedrohungen und anomales Verhalten über sämtliche Benutzer, Endgeräte und Anwendungen hinweg aufspüren können. Sie konzentriert sich nicht nur auf externe Angriffe, sondern auch auf Insider-Bedrohungen. Die Machine Learning-Algorithmen liefern verlässliche Ergebnisse mit Risikobewertungen und entsprechenden Nachweisen, die die herkömmlichen Vorgehensweisen von Analysten in Security Operation Centers (SOC) ergänzen und beschleunigen. Zudem liefert Splunk UBA visuelle Ansatzpunkte für Sicherheitsanalysten und Threat Hunter, sodass diese Anomalien proaktiv untersuchen können.

Splunk User Behavior Analytics-Software:

Erhöht die Erkennungswahrscheinlichkeit mithilfe eines verhaltensorientierten, zweckgebundenen und konfigurierbaren Machine Learning-Frameworks, das unüberwachte Algorithmen nutzt
Erweitert die UEBA-Möglichkeiten (User and Entity Behavior Analytics) von SOC-Analysten, indem Hunderte von Anomalien automatisch zu einer Einzelbedrohung zusammengesetzt werden
Bietet verbesserten Kontext, da Bedrohungen über mehrere Angriffsphasen hinweg visualisiert werden
Unterstützt die bidirektionale Integration mit Splunk Enterprise im Hinblick auf Datenerfassung und -korrelation sowie mit Splunk Enterprise Security hinsichtlich Auswirkungsbeurteilung, Untersuchung und automatisierten Reaktionen

Einstieg

Product Brief Splunk User Behavior Analytics
Technische Beschreibung Verwendung von Splunk® User Behavior Analytics
Splunk UBA-Anwendungsfälle Insider-Bedrohungen
Splunk UBA-Anwendungsfälle Externe Bedrohungen
Splunk UBA – Animationsvideo
Erkennen Sie externe Angriffe und Insider-Bedrohungen

User Behavior Analytics-Produkttour

Sicherheits-Dashboard

Eine informative Zusammenfassung, die die im Unternehmen gefundenen Bedrohungen und Anomalien visualisiert.
Sie enthält Details zu Benutzern, Geräten und Anwendungen, bei denen Anomalien festgestellt wurden.

Kill Chain-Ansicht

Visuelle Untersuchung eines Angriffs mit Details wie Angriffsdauer, betroffene Entitäten, beobachtete Anomalien mit Kategorienzuordnung im Verlauf der Eindringphase, Ausbreitungsphase und Exfiltrationsphase.

Peer-Gruppen-Visualisierung

Diese Ansicht dynamischer Peer-Gruppen wird mithilfe von Verhaltensanalysen, Active Directory und der Organisationsstruktur berechnet und hebt ähnliche Benutzer und Ausreißer hervor.

Gebrauchsfertige Analysefunktion

Ein Dashboard, das über mehrere Entitäten hinweg berechnete Aggregat- und Basiswerte sowie detaillierte Übersichten auf Entitätsebene anzeigt.

Benutzerrisikoeinstufung und -Monitoring

Benutzer-Monitoring und Filterung durch verschiedene Risikoeinstufungen wie etwa Risikoperzentil Insiderbedrohung, Risikoperzentil externe Bedrohung, Anzahl Anomalien, Anzahl Bedrohungen und Benutzer-Gesamteinstufung.

Anomalien mit Kategorien

Es stehen über 45 gebrauchsfertige Anomaliekategorien zur Verfügung, beispielsweise "Unusual Network Activity", "Suspicious Data Movement", "Unusual Activity Time" und andere. Sie können jeder dieser Kategorien benutzerdefinierte Bewertungen für die Priorisierung zuweisen oder die Kategorie unterdrücken, um effektive Hunting-Daten und Bedrohungen zu generieren. Alle Anomalien werden durch Machine Learning-Algorithmen ausgelöst.

Bedrohungen mit Kategorien

Direkt nach der Installation stehen mehr als 20 Bedrohungskategorien zur Verfügung (z. B. "Data Exfiltration", "Lateral Movement", "Compromised Account", "Suspicious Behavior" und andere), denen Sie zur Priorisierung jeweils benutzerdefinierte Bewertungen zuweisen können. Kunden können eigene Anwendungsfälle (Bedrohungen) schreiben, indem sie festlegen, welche Anomalien das Machine Learning-Framework wie zusammenfügen soll. Alle Bedrohungen werden durch Machine Learning-Algorithmen erzeugt.

Integrierte Vorfallsvisualisierung

Beobachten Sie Aktivitäten von Bedrohungsakteuren in ES über UBA-Asset- und Identitätsverknüpfungen, zeigen Sie durch UBA generierte Anomalien und Bedrohungen zusammen mit anderen Swimlane-Indikatoren im Asset-Ermittler an und ziehen Sie ein dediziertes UBA-Dashboard mit weiteren Details hinzu.

Hauptfunktionen von Splunk User Behavior Analytics

Big Data-Basis (Hadoop, Spark und GraphDB)

Da Splunk UBA auf einer Big Data-Basis (Hadoop) aufsetzt, skaliert die Lösung horizontal auf Milliarden von Ereignissen pro Tag und unterstützt die Analyse Hunderttausender Entitäten innerhalb eines Unternehmens.

Unsupervised Machine Learning

Zweckgebundene Unsupervised Machine Learning-Algorithmen generieren weniger False Positives, bieten eine breite Abdeckung und liefern äußert verlässliche Ergebnisse, die die Vorfallsreaktion und Bedrohungssuche erleichtern.

Mehrdimensionale Basiswerte für das Normalverhalten

Historische und Echtzeitdaten unterstützen die Ermittlung von Basiswerten für das Normalverhalten wie etwa probabilistische Suffixbäume, Werte über mehrere Zeitreihen hinweg etc., anhand deren Ausreißer aufgespürt und Sichtbarkeit bei Betriebsmetriken erreicht werden.

Benutzerdefinierte Bedrohungsgenerierung

Passen Sie das zugrunde liegende Machine Learning-Framework an, um interessante Anomalien zusammenzuführen und benutzerdefinierte Anwendungsfälle durch fein definierte Kontrollwerte abzudecken.

Benutzer-Monitoring und Beobachtungsliste

Nutzen Sie Monitoring-Funktionen für Benutzer und ihre Aktivität mit benutzerdefinierten Widgets oder ad-hoc Beobachtungslisten, auf die Sie schnell und einfach zugreifen können.

Anomalieunterdrückung und -bewertung

Priorisieren Sie entdeckte Anomalien, indem Sie benutzerdefinierte Bewertungen anlegen und ausgelöste Anomalien unterdrücken, um zuverlässigere Bedrohungsergebnisse zu erhalten.

Bidirektionale Integration in Splunk Enterprise und Splunk Enterprise Security

Die nahtlose Integration in Splunk Enterprise zur Datenerfassung in Kombination mit der Echtzeitübermittlung von Anomalien und Bedrohungen an Splunk ES erleichtern es Unternehmen, visuelle Erkenntnisse zu ihrem Sicherheitszustand zu erhalten und die Reaktion zu automatisieren.

Sicherheitsanwendungsfälle von Splunk User Behavior Analytics

Unsere Kunden nutzen Splunk UBA für folgende Anwendungsfälle:

Erkennen von Datenexfiltration

Schnelle Erkennung von Hinweisen auf Datenexfiltration aus Elementen oder Benutzern innerhalb eines Unternehmens einschließlich DLP-Benachrichtigungen (Data Loss Prevention), CASB-Logs (Cloud Access Security Broker), Netzwerkverkehrsdaten oder beidem.

Missbrauch von Insider-Zugriff, einschließlich Berechtigungsmissbrauch

Identifizieren Sie Benutzer (sowohl Mitarbeiter als auch vertrauenswürdige Drittfirmen), die Privilegien missbrauchen, was zu übermäßigem oder unbefugten Datenzugriff oder gar dem Missbrauch von Systemberechtigungen führt.

Bereitstellen von Kontext und Informationen für Untersuchungen

Stellen Sie Informationen aus Verhaltensanalysen von Benutzern und Entitäten, Anomalien und Bedrohungen bereit, um Benachrichtigungsvergleiche und Vorfallsuntersuchungen durchzuführen.

Entdecken kompromittierter Endpunkte

Identifizieren Sie Netzwerkendpunkte, die kompromittiert bzw. mit Malware infiziert wurden oder sonst verdächtiges Verhalten aufweisen, und gewinnen Sie Erkenntnisse zu Missbrauch oder Zweckentfremdung von Anwendungen.

Benutzerdefinierte Anwendungsfälle

Erstellen Sie neue Anwendungsfälle, indem Sie benutzerdefinierte Anomaliemodelle zusammenstellen, denen Sie dann eigene Risikobewertungen und Abhilfemaßnahmen zuweisen.

Verfügbare Workflows in Splunk User Behavior Analytics

Splunk UBA ordnet Bedrohungen und Anomalien innerhalb einer Kill Chain zu, um mehrere Workflows zu bedienen, die den Anforderungen von Sicherheitsanalysten und Abwehrexperten entsprechen.

Untersuchung von Anomalien

Vollständig automatisiertes und anpassbares Framework zur Anomalieerkennung, mit dem Abwehrexperten Machine Learning-Resultate untersuchen, wesentliche Sicherheitsverstöße identifizieren und verdächtige Muster erkennen können.

Bedrohungserkennung

Vollständig automatisiertes und anpassbares Framework zur Bedrohungserkennung, das Insider-Bedrohungen und benutzerdefinierte Anwendungsfälle wie Missbrauch privilegierter Konten, Lateral Movement, ungewöhnliches Verhalten etc. abdeckt.

Netzwerkverhaltensanalyse

Gewinnen Sie Erkenntnisse über Benutzer- und Entitätsaktivitäten, Peer-Gruppen, Risikoperzentile für Insider-Bedrohungen und externe Bedrohungen usw.

Zwei Premium-Lösungen im Tandem

Die Kombination aus Splunk ES und Splunk UBA bietet Unternehmen maximalen Mehrwert bei der Erkennung und Behebung von Bedrohungen und Anomalien durch menschen- und maschinengestützte Lösungen.

Vorteile von Splunk bei der Verhaltensanalyse von Benutzern und Entitäten

Splunk UBA ergänzt Ihr bestehendes Sicherheitsteam und steigert seine Produktivität, da Bedrohungen gefunden werden, die ansonsten wegen Mangel an Ressourcen und Zeit nicht aufgedeckt würden. Sein leistungsfähiges Machine Learning-Framework, die Anpassbarkeit und die breite Palette der Anwendungsfälle unterstützen Unternehmen bei der automatisierten Entdeckung unbekannter Bedrohungen und Verhaltensanomalien. Splunk UBA lässt sich nahtlos in Splunk Enterprise und Splunk Enterprise Security integrierten und erleichtert die End-to-End-Behebung von Vorfällen oder Durchbrüchen.

Fragen Sie einen Experten

Anurag Gurtu

Brauchen Sie Unterstützung bei Ihrer Umgebung und Ihren Anforderungen? Schicken Sie uns Ihre Fragen und wir versuchen, sie möglichst schnell zu beantworten.

Kontaktieren Sie uns