Schutz vor Insider-Bedrohungen durch Machine Learning

Splunk User Behavior Analytics (UBA) ist eine auf Machine Learning gestützte Lösung, die die nötigen Antworten liefert, damit Sie unbekannte Bedrohungen und anomales Verhalten über sämtliche Benutzer, Endgeräte und Anwendungen hinweg aufspüren können. Sie konzentriert sich nicht nur auf externe Angriffe, sondern auch auf Insider-Bedrohungen. Die Machine Learning-Algorithmen liefern verlässliche Ergebnisse mit Risikobewertungen und entsprechenden Nachweisen, die die herkömmlichen Vorgehensweisen von Analysten in Security Operation Centers (SOC) ergänzen und beschleunigen. Zudem liefert Splunk UBA visuelle Ansatzpunkte für Sicherheitsanalysten und Threat Hunter, sodass diese Anomalien proaktiv untersuchen können.

Splunk User Behavior Analytics-Software:

  • Erhöht die Erkennungswahrscheinlichkeit mithilfe eines verhaltensorientierten, zweckgebundenen und konfigurierbaren Machine Learning-Frameworks, das unüberwachte Algorithmen nutzt
  • Erweitert die UEBA-Möglichkeiten (User and Entity Behavior Analytics) von SOC-Analysten, indem Hunderte von Anomalien automatisch zu einer Einzelbedrohung zusammengesetzt werden 
  • Bietet verbesserten Kontext, da Bedrohungen über mehrere Angriffsphasen hinweg visualisiert werden
  • Unterstützt die bidirektionale Integration mit Splunk Enterprise im Hinblick auf Datenerfassung und -korrelation sowie mit Splunk Enterprise Security hinsichtlich Auswirkungsbeurteilung, Untersuchung und automatisierten Reaktionen
Einstieg
  • Product Brief Splunk User Behavior Analytics
  • Technische Beschreibung Verwendung von Splunk® User Behavior Analytics
  • Splunk UBA-Anwendungsfälle Insider-Bedrohungen
  • Splunk UBA-Anwendungsfälle Externe Bedrohungen
  • Splunk UBA – Animationsvideo
    Erkennen Sie externe Angriffe und Insider-Bedrohungen
  • 451 Resarch-Bericht Splunk Brings Machine Learning Into the Machine Data Analytics Fold

User Behavior Analytics-Produkttour

Hauptfunktionen von Splunk User Behavior Analytics

Big Data-Basis

Big Data-Basis (Hadoop, Spark und GraphDB)

Da Splunk UBA auf einer Big Data-Basis (Hadoop) aufsetzt, skaliert die Lösung horizontal auf Milliarden von Ereignissen pro Tag und unterstützt die Analyse Hunderttausender Entitäten innerhalb eines Unternehmens. 
Machine Learning

Unsupervised Machine Learning

Zweckgebundene Unsupervised Machine Learning-Algorithmen generieren weniger False Positives, bieten eine breite Abdeckung und liefern äußert verlässliche Ergebnisse, die die Vorfallsreaktion und Bedrohungssuche erleichtern.
mehrdimensionale Basiswerte für das Normalverhalten

Mehrdimensionale Basiswerte für das Normalverhalten

Historische und Echtzeitdaten unterstützen die Ermittlung von Basiswerten für das Normalverhalten wie etwa probabilistische Suffixbäume, Werte über mehrere Zeitreihen hinweg etc., anhand deren Ausreißer aufgespürt und Sichtbarkeit bei Betriebsmetriken erreicht werden. 
Bedrohungsprüfung und -untersuchung

Benutzerdefinierte Bedrohungsgenerierung

Passen Sie das zugrunde liegende Machine Learning-Framework an, um interessante Anomalien zusammenzuführen und benutzerdefinierte Anwendungsfälle durch fein definierte Kontrollwerte abzudecken. 
überwachen

Benutzer-Monitoring und Beobachtungsliste

Nutzen Sie Monitoring-Funktionen für Benutzer und ihre Aktivität mit benutzerdefinierten Widgets oder ad-hoc Beobachtungslisten, auf die Sie schnell und einfach zugreifen können.
Unterdrückung

Anomalieunterdrückung und -bewertung

Priorisieren Sie entdeckte Anomalien, indem Sie benutzerdefinierte Bewertungen anlegen und ausgelöste Anomalien unterdrücken, um zuverlässigere Bedrohungsergebnisse zu erhalten.

Bidirektionale Integration in Splunk Enterprise und Splunk Enterprise Security

Die nahtlose Integration in Splunk Enterprise zur Datenerfassung in Kombination mit der Echtzeitübermittlung von Anomalien und Bedrohungen an Splunk ES erleichtern es Unternehmen, visuelle Erkenntnisse zu ihrem Sicherheitszustand zu erhalten und die Reaktion zu automatisieren. 
 

Sicherheitsanwendungsfälle von Splunk User Behavior Analytics

Unsere Kunden nutzen Splunk UBA für folgende Anwendungsfälle:

Erkennen von Datenexfiltration
Schnelle Erkennung von Hinweisen auf Datenexfiltration aus Elementen oder Benutzern innerhalb eines Unternehmens einschließlich DLP-Benachrichtigungen (Data Loss Prevention), CASB-Logs (Cloud Access Security Broker), Netzwerkverkehrsdaten oder beidem.
Missbrauch von Insider-Zugriff, einschließlich Berechtigungsmissbrauch
Identifizieren Sie Benutzer (sowohl Mitarbeiter als auch vertrauenswürdige Drittfirmen), die Privilegien missbrauchen, was zu übermäßigem oder unbefugten Datenzugriff oder gar dem Missbrauch von Systemberechtigungen führt.
Bereitstellen von Kontext und Informationen für Untersuchungen
Stellen Sie Informationen aus Verhaltensanalysen von Benutzern und Entitäten, Anomalien und Bedrohungen bereit, um Benachrichtigungsvergleiche und Vorfallsuntersuchungen durchzuführen.
Detectcompromisedendpoint
Entdecken kompromittierter Endpunkte
Identifizieren Sie Netzwerkendpunkte, die kompromittiert bzw. mit Malware infiziert wurden oder sonst verdächtiges Verhalten aufweisen, und gewinnen Sie Erkenntnisse zu Missbrauch oder Zweckentfremdung von Anwendungen.
Customusecase
Benutzerdefinierte Anwendungsfälle
Erstellen Sie neue Anwendungsfälle, indem Sie benutzerdefinierte Anomaliemodelle zusammenstellen, denen Sie dann eigene Risikobewertungen und Abhilfemaßnahmen zuweisen.

Verfügbare Workflows in Splunk User Behavior Analytics

Splunk UBA ordnet Bedrohungen und Anomalien innerhalb einer Kill Chain zu, um mehrere Workflows zu bedienen, die den Anforderungen von Sicherheitsanalysten und Abwehrexperten entsprechen.
Untersuchung von Anomalien
Vollständig automatisiertes und anpassbares Framework zur Anomalieerkennung, mit dem Abwehrexperten Machine Learning-Resultate untersuchen, wesentliche Sicherheitsverstöße identifizieren und verdächtige Muster erkennen können.
Bedrohungserkennung
Vollständig automatisiertes und anpassbares Framework zur Bedrohungserkennung, das Insider-Bedrohungen und benutzerdefinierte Anwendungsfälle wie Missbrauch privilegierter Konten, Lateral Movement, ungewöhnliches Verhalten etc. abdeckt.
Netzwerkverhaltensanalyse
Gewinnen Sie Erkenntnisse über Benutzer- und Entitätsaktivitäten, Peer-Gruppen, Risikoperzentile für Insider-Bedrohungen und externe Bedrohungen usw.

Zwei Premium-Lösungen im Tandem

Die Kombination aus Splunk ES und Splunk UBA bietet Unternehmen maximalen Mehrwert bei der Erkennung und Behebung von Bedrohungen und Anomalien durch menschen- und maschinengestützte Lösungen.

Vorteile von Splunk bei der Verhaltensanalyse von Benutzern und Entitäten

Splunk UBA ergänzt Ihr bestehendes Sicherheitsteam und steigert seine Produktivität, da Bedrohungen gefunden werden, die ansonsten wegen Mangel an Ressourcen und Zeit nicht aufgedeckt würden. Sein leistungsfähiges Machine Learning-Framework, die Anpassbarkeit und die breite Palette der Anwendungsfälle unterstützen Unternehmen bei der automatisierten Entdeckung unbekannter Bedrohungen und Verhaltensanomalien. Splunk UBA lässt sich nahtlos in Splunk Enterprise und Splunk Enterprise Security integrierten und erleichtert die End-to-End-Behebung von Vorfällen oder Durchbrüchen.

Fragen Sie einen Experten

Anurag Gurtu

Brauchen Sie Unterstützung bei Ihrer Umgebung und Ihren Anforderungen? Schicken Sie uns Ihre Fragen und wir versuchen, sie möglichst schnell zu beantworten.

Kontaktieren Sie uns
Vi Ly, Expertin