Entdecken Sie Insider-Bedrohungen und externe Angriffe

Hinter modernen Bedrohungen stecken entweder externe Angreifer oder böswillige Insider. Insider-Bedrohungen sind schwer zu entdecken, da herkömmliche Sicherheitsprodukte das Nutzungsverhalten nicht schwerpunktmäßig prüfen, und das Aufspüren komplexer externer Angriffe wird dadurch erschwert, dass die Angreifer neue Verfahren und ausgedehnte Schlummerperioden einsetzen. Um hier Abhilfe zu schaffen, müssen Sicherheitstools der nächsten Generation Billionen Ereignisse über lange Zeiträume hinweg analysieren und die bisherigen regel- oder signaturgestützten Ansätze durch einen neuen Entdeckungsansatz mit Verhaltensmodellen und Peer-Gruppen-Analysen ersetzen.

Splunk UBA ist eine sofort einsetzbare Lösung auf Basis einer Big Data-Plattform (Hadoop), mit der Unternehmen bekannte, unbekannte und versteckte Bedrohungen aufdecken können. Die Software nutzt einen auf Data Science gestützten Ansatz, der verlässliche Ergebnisse mit Risikobewertung und entsprechenden Nachweisen erzeugt, sodass SOC-Analysten und Abwehrexperten schnell auf Bedrohungen und Gegenmaßnahmen ergreifen können.

Splunk User Behavior Analytics:

  • Entdeckt Insider-Bedrohungen und externe Angriffe mit sofort einsetzbaren, zweckgebundenen und dennoch erweiterbaren Algorithmen für Unsupervised Machine Learning
  • Liefert Kontext rund um die Bedrohung durch die Machine Learning-gestützte Anomaliekorrelation und die visuelle Zuordnung von zusammengesetzten Anomalien aus verschiedenen Phasen des Angriffszyklus (Kill-Chain-Ansicht)
  • Steigert die SOC-Effizienz dank Bedrohungs-Rangfolgelisten und entsprechenden Nachweisen
  • Unterstützt die bidirektionale Integration mit Splunk Enterprise im Hinblick auf Datenerfassung und -korrelation sowie mit Splunk Enterprise Security hinsichtlich Auswirkungsbeurteilung, Workflow-Management und automatisierten Reaktionen
Einstieg
  • Product Brief Splunk User Behavior Analytics
  • Technische Beschreibung Verwendung von Splunk® User Behavior Analytics
  • Splunk UBA-Anwendungsfälle Insider-Bedrohungen
  • Splunk UBA-Anwendungsfälle Externe Bedrohungen
  • Splunk UBA – Animationsvideo
    Erkennen Sie externe Angriffe und Insider-Bedrohungen

User Behavior Analytics-Produkttour

Hauptfunktionen von Splunk User Behavior Analytics

Big Data-Basis

Big Data-Basis

Da Splunk UBA auf einer Big Data-Basis (Hadoop) aufsetzt, skaliert die Lösung auf Milliarden von Ereignissen pro Tag und unterstützt die Analyse Hunderttausender Entitäten innerhalb eines Unternehmens.
Machine Learning

Machine Learning

Zweckgebundene Algorithmen für Unsupervised Machine Learning liefern hocheffizient Ergebnisse in Echtzeit für eine wirkungsvolle Vorfallsreaktion und Bedrohungssuche, ohne dass auf den Abschluss des Algorithmus-Lernprozesses oder auf Benutzereingabe gewartet werden muss.
mehrdimensionale Basiswerte für das Normalverhalten

Mehrdimensionale Basiswerte für das Normalverhalten

Historische und Echtzeitdaten unterstützen die Ermittlung von Basiswerten für das Normalverhalten, anhand deren Ausreißer aufgespürt und Sichtbarkeit bei Betriebsmetriken erreicht werden.
Bedrohungsprüfung und -untersuchung

Bedrohungserkennung und -visualisierung in Echtzeit

Selbstlernende Machine Learning-Algorithmen können automatisch Anomalien zu Bedrohungen zusammensetzen und diese über eine Kill Chain visualisieren, damit ein SOC-Analyst entsprechende Gegenmaßnahmen einleiten kann. 

Bidirektionale Integration in Splunk Enterprise und Splunk Enterprise Security (Splunk ES)

Die nahtlose Integration in Splunk Enterprise zur Datenerfassung sowie die Echtzeitübermittlung von Anomalien und Bedrohungen an Splunk ES erleichtern es Unternehmen, visuelle Erkenntnisse zu ihrem Sicherheitszustand zu erhalten und Workflows zu automatisieren.

Splunk UBA-Anwendungsfälle

Unsere Kunden nutzen Splunk UBA für folgende Anwendungsfälle:
Datenexfiltration
Schnelle Erkennung von Hinweisen auf Datenexfiltration aus Elementen oder Benutzern innerhalb eines Unternehmens.
Konto-Hijacking und Missbrauch privilegierter Konten
Schnelle Erkennung kompromittierter Konten und volle Transparenz bei Bedrohungen im Zusammenhang mit privilegierten Konten.
Kompromittierung von Cloud-Anwendungen
Schaffen einer holistischen Sicht auf Zugriffe und Aktivitäten bei Anwendungen (lokal oder in der Cloud) für Benutzer und Gewinnen von Erkenntnissen zu Missbrauch oder Zweckentfremdung dieser Anwendungen.
Ungewöhnliches Verhalten: Benutzer, Gerät und Anwendung
Erkennen von Bedrohungen und Anomalien im Zusammenhang mit Benutzern und anderen Entitäten innerhalb Ihres Unternehmens: UEBA (User and Entity Behavior Analytics).
Erkennung von Schadsoftware und Lateral Movement
Entdecken von Schadsoftware und anderen Bedrohungsakteuren bei lateralen Bewegungen innerhalb des Netzwerks und der Kommunikation mit internen und externen C&C-Servern.

Verfügbare Workflows in Splunk UBA

Splunk® UBA ordnet Bedrohungen und Anomalien innerhalb einer Kill Chain zu, um mehrere Workflows zu bedienen, die den Anforderungen von Analysten und Abwehrexperten entsprechen.
Untersuchung von Anomalien
Vollständig automatisiertes und anpassbares Framework zur Anomalieerkennung, mit dem Abwehrexperten Machine Learning-Resultate untersuchen, wesentliche Sicherheitsverstöße identifizieren und verdächtige Muster erkennen können.
Bedrohungserkennung
Vollständig automatisiertes und anpassbares Framework zur Bedrohungserkennung für die Abdeckung von Anwendungsfällen wie Insider-Bedrohungen und externen Angriffen wie Infektionen mit Schadsoftware, Missbrauch privilegierter Konten, Datenexfiltration , ungewöhnliches Verhalten etc.

Vorteile von Splunk for User Behavior Analytics

Splunk UBA ergänzt Ihr bestehendes Sicherheitsteam und steigert seine Produktivität, da Bedrohungen gefunden werden, die ansonsten wegen Mangel an Ressourcen und Zeit nicht aufgedeckt würden. Sein leistungsfähiges Machine Learning-Framework, die Anpassbarkeit und die breite Palette der Anwendungsfälle unterstützen Unternehmen bei der automatisierten Entdeckung bekannter, unbekannter und versteckter Bedrohungen. Splunk UBA berücksichtigt den gesamten Lebenszyklus eines Angriffs, einschließlich Insider-Bedrohungen und externe Angriffe, und gibt Kunden die Möglichkeit, Bedrohungen mithilfe von Splunk Enterprise Security aufzudecken, abzuwehren und einzudämmen.

Fragen Sie einen Experten

Brauchen Sie Unterstützung bei Ihrer Umgebung und Ihren Anforderungen? Schicken Sie uns Ihre Fragen und wir versuchen, sie möglichst schnell zu beantworten.

 

 

Kontaktieren Sie uns per E-Mail unter ubainfo@splunk.com.

 

Falls Sie sofort Hilfe benötigen, finden Sie die nötigen Informationen möglicherweise in unserem Community-Forum Splunk-Antworten.

 

 

Vi Ly, Expertin