Splunk User Behavior Analytics
Wir suchen Ärger
Entdecken Sie Insider-Bedrohungen und externe Angriffe
Hinter modernen Bedrohungen stecken entweder externe Angreifer oder böswillige Insider. Insider-Bedrohungen sind schwer zu entdecken, da herkömmliche Sicherheitsprodukte das Nutzungsverhalten nicht schwerpunktmäßig prüfen, und das Aufspüren komplexer externer Angriffe wird dadurch erschwert, dass die Angreifer neue Verfahren und ausgedehnte Schlummerperioden einsetzen. Um hier Abhilfe zu schaffen, müssen Sicherheitstools der nächsten Generation Billionen Ereignisse über lange Zeiträume hinweg analysieren und die bisherigen regel- oder signaturgestützten Ansätze durch einen neuen Entdeckungsansatz mit Verhaltensmodellen und Peer-Gruppen-Analysen ersetzen.
Splunk UBA ist eine sofort einsetzbare Lösung auf Basis einer Big Data-Plattform (Hadoop), mit der Unternehmen bekannte, unbekannte und versteckte Bedrohungen aufdecken können. Die Software nutzt einen auf Data Science gestützten Ansatz, der verlässliche Ergebnisse mit Risikobewertung und entsprechenden Nachweisen erzeugt, sodass SOC-Analysten und Abwehrexperten schnell auf Bedrohungen und Gegenmaßnahmen ergreifen können.
Splunk User Behavior Analytics:
- Entdeckt Insider-Bedrohungen und externe Angriffe mit sofort einsetzbaren, zweckgebundenen und dennoch erweiterbaren Algorithmen für Unsupervised Machine Learning
- Liefert Kontext rund um die Bedrohung durch die Machine Learning-gestützte Anomaliekorrelation und die visuelle Zuordnung von zusammengesetzten Anomalien aus verschiedenen Phasen des Angriffszyklus (Kill-Chain-Ansicht)
- Steigert die SOC-Effizienz dank Bedrohungs-Rangfolgelisten und entsprechenden Nachweisen
- Unterstützt die bidirektionale Integration mit Splunk Enterprise im Hinblick auf Datenerfassung und -korrelation sowie mit Splunk Enterprise Security hinsichtlich Auswirkungsbeurteilung, Workflow-Management und automatisierten Reaktionen
Einstieg
-
Sicherheits-Dashboard
-
Bedrohungsprüfung
-
Anomalieprüfung (benutzerorientiert)
-
Sicherheitsanalyse
Sicherheits-Dashboard
Eine informative Zusammenfassung, die die im Unternehmen gefundenen Bedrohungen und Anomalien visualisiert.
Sie enthält Details zu Benutzern, Geräten und Anwendungen, bei denen Anomalien festgestellt wurden.
Bedrohungsprüfung
Diese Bildschirme erleichtern die Untersuchung von Bedrohungen. Sie enthalten Angaben zur Angriffsdauer
sowie zu den beobachteten Anomalien, kompromittierten oder missbräuchlich genutzten Benutzerkonten, betroffenen Geräten
und anomalen Anwendungen, die aus den verschiedenen Phasen zusammengesetzt wurden.
Anomalieprüfung (benutzerorientiert)
Eine benutzerorientierte Ansicht, die Benutzer oder Konten mit Gefährdungseinstufungen, Anomalien und beobachteten Bedrohungen aufführt.
Zudem enthält die Ansicht ein Histogramm mit einem Vergleich ihrer Anfälligkeit für externe oder interne Gefahren.
Sicherheitsanalyse
Ein Dashboard, das über mehrere Entitäten hinweg berechnete Aggregat- und Basiswerte sowie
detaillierte Übersichten auf Entitätsebene anzeigt.
Hauptfunktionen von Splunk User Behavior Analytics
Machine Learning
Zweckgebundene Algorithmen für Unsupervised Machine Learning liefern hocheffizient Ergebnisse in Echtzeit für eine wirkungsvolle Vorfallsreaktion und Bedrohungssuche, ohne dass auf den Abschluss des Algorithmus-Lernprozesses oder auf Benutzereingabe gewartet werden muss.
Mehrdimensionale Basiswerte für das Normalverhalten
Historische und Echtzeitdaten unterstützen die Ermittlung von Basiswerten für das Normalverhalten, anhand deren Ausreißer aufgespürt und Sichtbarkeit bei Betriebsmetriken erreicht werden.
Bedrohungserkennung und -visualisierung in Echtzeit
Selbstlernende Machine Learning-Algorithmen können automatisch Anomalien zu Bedrohungen zusammensetzen und diese über eine Kill Chain visualisieren, damit ein SOC-Analyst entsprechende Gegenmaßnahmen einleiten kann.
Bidirektionale Integration in Splunk Enterprise und Splunk Enterprise Security (Splunk ES)
Die nahtlose Integration in Splunk Enterprise zur Datenerfassung sowie die Echtzeitübermittlung von Anomalien und Bedrohungen an Splunk ES erleichtern es Unternehmen, visuelle Erkenntnisse zu ihrem Sicherheitszustand zu erhalten und Workflows zu automatisieren.Splunk UBA-Anwendungsfälle
Unsere Kunden nutzen Splunk UBA für folgende Anwendungsfälle:
Datenexfiltration
Schnelle Erkennung von Hinweisen auf Datenexfiltration aus Elementen oder Benutzern innerhalb eines Unternehmens.
Konto-Hijacking und Missbrauch privilegierter Konten
Schnelle Erkennung kompromittierter Konten und volle Transparenz bei Bedrohungen im Zusammenhang mit privilegierten Konten.
Kompromittierung von Cloud-Anwendungen
Schaffen einer holistischen Sicht auf Zugriffe und Aktivitäten bei Anwendungen (lokal oder in der Cloud) für Benutzer und Gewinnen von Erkenntnissen zu Missbrauch oder Zweckentfremdung dieser Anwendungen.
Ungewöhnliches Verhalten: Benutzer, Gerät und Anwendung
Erkennen von Bedrohungen und Anomalien im Zusammenhang mit Benutzern und anderen Entitäten innerhalb Ihres Unternehmens: UEBA (User and Entity Behavior Analytics).
Erkennung von Schadsoftware und Lateral Movement
Entdecken von Schadsoftware und anderen Bedrohungsakteuren bei lateralen Bewegungen innerhalb des Netzwerks und der Kommunikation mit internen und externen C&C-Servern.
Verfügbare Workflows in Splunk UBA
Splunk® UBA ordnet Bedrohungen und Anomalien innerhalb einer Kill Chain zu, um mehrere Workflows zu bedienen, die den Anforderungen von Analysten und Abwehrexperten entsprechen.
Untersuchung von Anomalien
Vollständig automatisiertes und anpassbares Framework zur Anomalieerkennung, mit dem Abwehrexperten Machine Learning-Resultate untersuchen, wesentliche Sicherheitsverstöße identifizieren und verdächtige Muster erkennen können.
Bedrohungserkennung
Vollständig automatisiertes und anpassbares Framework zur Bedrohungserkennung für die Abdeckung von Anwendungsfällen wie Insider-Bedrohungen und externen Angriffen wie Infektionen mit Schadsoftware, Missbrauch privilegierter Konten, Datenexfiltration , ungewöhnliches Verhalten etc.
Vorteile von Splunk for User Behavior Analytics
Splunk UBA ergänzt Ihr bestehendes Sicherheitsteam und steigert seine Produktivität, da Bedrohungen gefunden werden, die ansonsten wegen Mangel an Ressourcen und Zeit nicht aufgedeckt würden. Sein leistungsfähiges Machine Learning-Framework, die Anpassbarkeit und die breite Palette der Anwendungsfälle unterstützen Unternehmen bei der automatisierten Entdeckung bekannter, unbekannter und versteckter Bedrohungen. Splunk UBA berücksichtigt den gesamten Lebenszyklus eines Angriffs, einschließlich Insider-Bedrohungen und externe Angriffe, und gibt Kunden die Möglichkeit, Bedrohungen mithilfe von Splunk Enterprise Security aufzudecken, abzuwehren und einzudämmen.
Fragen Sie einen Experten
Brauchen Sie Unterstützung bei Ihrer Umgebung und Ihren Anforderungen? Schicken Sie uns Ihre Fragen und wir versuchen, sie möglichst schnell zu beantworten.
Kontaktieren Sie uns per E-Mail unter ubainfo@splunk.com.
Falls Sie sofort Hilfe benötigen, finden Sie die nötigen Informationen möglicherweise in unserem Community-Forum Splunk-Antworten.
