Splunk User Behavior Analytics
Sicherheit durch die Verhaltensanalyse von Benutzern und Entitäten
Schutz vor Insider-Bedrohungen durch Machine Learning
Splunk User Behavior Analytics (UBA) ist eine auf Machine Learning gestützte Lösung, die die nötigen Antworten liefert, damit Sie unbekannte Bedrohungen und anomales Verhalten über sämtliche Benutzer, Endgeräte und Anwendungen hinweg aufspüren können. Sie konzentriert sich nicht nur auf externe Angriffe, sondern auch auf Insider-Bedrohungen. Die Machine Learning-Algorithmen liefern verlässliche Ergebnisse mit Risikobewertungen und entsprechenden Nachweisen, die die herkömmlichen Vorgehensweisen von Analysten in Security Operation Centers (SOC) ergänzen und beschleunigen. Zudem liefert Splunk UBA visuelle Ansatzpunkte für Sicherheitsanalysten und Threat Hunter, sodass diese Anomalien proaktiv untersuchen können.
Splunk User Behavior Analytics-Software:
- Erhöht die Erkennungswahrscheinlichkeit mithilfe eines verhaltensorientierten, zweckgebundenen und konfigurierbaren Machine Learning-Frameworks, das unüberwachte Algorithmen nutzt
- Erweitert die UEBA-Möglichkeiten (User and Entity Behavior Analytics) von SOC-Analysten, indem Hunderte von Anomalien automatisch zu einer Einzelbedrohung zusammengesetzt werden
- Bietet verbesserten Kontext, da Bedrohungen über mehrere Angriffsphasen hinweg visualisiert werden
- Unterstützt die bidirektionale Integration mit Splunk Enterprise im Hinblick auf Datenerfassung und -korrelation sowie mit Splunk Enterprise Security hinsichtlich Auswirkungsbeurteilung, Untersuchung und automatisierten Reaktionen
Einstieg
-
Sicherheits-Dashboard
-
Kill Chain-Ansicht
-
Peer-Gruppen-Visualisierung
-
Gebrauchsfertige Analysefunktion
-
Benutzerrisikoeinstufung und -Monitoring
-
Anomalien mit Kategorien
-
Bedrohungen mit Kategorien
-
Integrierte Vorfallsvisualisierung
Sicherheits-Dashboard
Eine informative Zusammenfassung, die die im Unternehmen gefundenen Bedrohungen und Anomalien visualisiert.
Sie enthält Details zu Benutzern, Geräten und Anwendungen, bei denen Anomalien festgestellt wurden.
Kill Chain-Ansicht
Visuelle Untersuchung eines Angriffs mit Details wie Angriffsdauer, betroffene Entitäten, beobachtete Anomalien mit Kategorienzuordnung im Verlauf der Eindringphase, Ausbreitungsphase und Exfiltrationsphase.
Peer-Gruppen-Visualisierung
Diese Ansicht dynamischer Peer-Gruppen wird mithilfe von Verhaltensanalysen, Active Directory und der Organisationsstruktur berechnet und hebt ähnliche Benutzer und Ausreißer hervor.
Gebrauchsfertige Analysefunktion
Ein Dashboard, das über mehrere Entitäten hinweg berechnete Aggregat- und Basiswerte sowie detaillierte Übersichten auf Entitätsebene anzeigt.
Benutzerrisikoeinstufung und -Monitoring
Benutzer-Monitoring und Filterung durch verschiedene Risikoeinstufungen wie etwa Risikoperzentil Insiderbedrohung, Risikoperzentil externe Bedrohung, Anzahl Anomalien, Anzahl Bedrohungen und Benutzer-Gesamteinstufung.
Anomalien mit Kategorien
Es stehen über 45 gebrauchsfertige Anomaliekategorien zur Verfügung, beispielsweise "Unusual Network Activity", "Suspicious Data Movement", "Unusual Activity Time" und andere. Sie können jeder dieser Kategorien benutzerdefinierte Bewertungen für die Priorisierung zuweisen oder die Kategorie unterdrücken, um effektive Hunting-Daten und Bedrohungen zu generieren. Alle Anomalien werden durch Machine Learning-Algorithmen ausgelöst.
Bedrohungen mit Kategorien
Direkt nach der Installation stehen mehr als 20 Bedrohungskategorien zur Verfügung (z. B. "Data Exfiltration", "Lateral Movement", "Compromised Account", "Suspicious Behavior" und andere), denen Sie zur Priorisierung jeweils benutzerdefinierte Bewertungen zuweisen können. Kunden können eigene Anwendungsfälle (Bedrohungen) schreiben, indem sie festlegen, welche Anomalien das Machine Learning-Framework wie zusammenfügen soll. Alle Bedrohungen werden durch Machine Learning-Algorithmen erzeugt.
Integrierte Vorfallsvisualisierung
Beobachten Sie Aktivitäten von Bedrohungsakteuren in ES über UBA-Asset- und Identitätsverknüpfungen, zeigen Sie durch UBA generierte Anomalien und Bedrohungen zusammen mit anderen Swimlane-Indikatoren im Asset-Ermittler an und ziehen Sie ein dediziertes UBA-Dashboard mit weiteren Details hinzu.
Hauptfunktionen von Splunk User Behavior Analytics
Unsupervised Machine Learning
Zweckgebundene Unsupervised Machine Learning-Algorithmen generieren weniger False Positives, bieten eine breite Abdeckung und liefern äußert verlässliche Ergebnisse, die die Vorfallsreaktion und Bedrohungssuche erleichtern.
Mehrdimensionale Basiswerte für das Normalverhalten
Historische und Echtzeitdaten unterstützen die Ermittlung von Basiswerten für das Normalverhalten wie etwa probabilistische Suffixbäume, Werte über mehrere Zeitreihen hinweg etc., anhand deren Ausreißer aufgespürt und Sichtbarkeit bei Betriebsmetriken erreicht werden.
Benutzerdefinierte Bedrohungsgenerierung
Passen Sie das zugrunde liegende Machine Learning-Framework an, um interessante Anomalien zusammenzuführen und benutzerdefinierte Anwendungsfälle durch fein definierte Kontrollwerte abzudecken.
Benutzer-Monitoring und Beobachtungsliste
Nutzen Sie Monitoring-Funktionen für Benutzer und ihre Aktivität mit benutzerdefinierten Widgets oder ad-hoc Beobachtungslisten, auf die Sie schnell und einfach zugreifen können.
Anomalieunterdrückung und -bewertung
Priorisieren Sie entdeckte Anomalien, indem Sie benutzerdefinierte Bewertungen anlegen und ausgelöste Anomalien unterdrücken, um zuverlässigere Bedrohungsergebnisse zu erhalten.
Bidirektionale Integration in Splunk Enterprise und Splunk Enterprise Security
Die nahtlose Integration in Splunk Enterprise zur Datenerfassung in Kombination mit der Echtzeitübermittlung von Anomalien und Bedrohungen an Splunk ES erleichtern es Unternehmen, visuelle Erkenntnisse zu ihrem Sicherheitszustand zu erhalten und die Reaktion zu automatisieren.Sicherheitsanwendungsfälle von Splunk User Behavior Analytics
Unsere Kunden nutzen Splunk UBA für folgende Anwendungsfälle:
Erkennen von Datenexfiltration
Schnelle Erkennung von Hinweisen auf Datenexfiltration aus Elementen oder Benutzern innerhalb eines Unternehmens einschließlich DLP-Benachrichtigungen (Data Loss Prevention), CASB-Logs (Cloud Access Security Broker), Netzwerkverkehrsdaten oder beidem.
Missbrauch von Insider-Zugriff, einschließlich Berechtigungsmissbrauch
Identifizieren Sie Benutzer (sowohl Mitarbeiter als auch vertrauenswürdige Drittfirmen), die Privilegien missbrauchen, was zu übermäßigem oder unbefugten Datenzugriff oder gar dem Missbrauch von Systemberechtigungen führt.
Bereitstellen von Kontext und Informationen für Untersuchungen
Stellen Sie Informationen aus Verhaltensanalysen von Benutzern und Entitäten, Anomalien und Bedrohungen bereit, um Benachrichtigungsvergleiche und Vorfallsuntersuchungen durchzuführen.
Entdecken kompromittierter Endpunkte
Identifizieren Sie Netzwerkendpunkte, die kompromittiert bzw. mit Malware infiziert wurden oder sonst verdächtiges Verhalten aufweisen, und gewinnen Sie Erkenntnisse zu Missbrauch oder Zweckentfremdung von Anwendungen.
Benutzerdefinierte Anwendungsfälle
Erstellen Sie neue Anwendungsfälle, indem Sie benutzerdefinierte Anomaliemodelle zusammenstellen, denen Sie dann eigene Risikobewertungen und Abhilfemaßnahmen zuweisen.
Verfügbare Workflows in Splunk User Behavior Analytics
Splunk UBA ordnet Bedrohungen und Anomalien innerhalb einer Kill Chain zu, um mehrere Workflows zu bedienen, die den Anforderungen von Sicherheitsanalysten und Abwehrexperten entsprechen.
Untersuchung von Anomalien
Vollständig automatisiertes und anpassbares Framework zur Anomalieerkennung, mit dem Abwehrexperten Machine Learning-Resultate untersuchen, wesentliche Sicherheitsverstöße identifizieren und verdächtige Muster erkennen können.
Bedrohungserkennung
Vollständig automatisiertes und anpassbares Framework zur Bedrohungserkennung, das Insider-Bedrohungen und benutzerdefinierte Anwendungsfälle wie Missbrauch privilegierter Konten, Lateral Movement, ungewöhnliches Verhalten etc. abdeckt.
Netzwerkverhaltensanalyse
Gewinnen Sie Erkenntnisse über Benutzer- und Entitätsaktivitäten, Peer-Gruppen, Risikoperzentile für Insider-Bedrohungen und externe Bedrohungen usw.
Zwei Premium-Lösungen im Tandem
Die Kombination aus Splunk ES und Splunk UBA bietet Unternehmen maximalen Mehrwert bei der Erkennung und Behebung von Bedrohungen und Anomalien durch menschen- und maschinengestützte Lösungen.
Vorteile von Splunk bei der Verhaltensanalyse von Benutzern und Entitäten
Splunk UBA ergänzt Ihr bestehendes Sicherheitsteam und steigert seine Produktivität, da Bedrohungen gefunden werden, die ansonsten wegen Mangel an Ressourcen und Zeit nicht aufgedeckt würden. Sein leistungsfähiges Machine Learning-Framework, die Anpassbarkeit und die breite Palette der Anwendungsfälle unterstützen Unternehmen bei der automatisierten Entdeckung unbekannter Bedrohungen und Verhaltensanomalien. Splunk UBA lässt sich nahtlos in Splunk Enterprise und Splunk Enterprise Security integrierten und erleichtert die End-to-End-Behebung von Vorfällen oder Durchbrüchen.
Fragen Sie einen Experten
Anurag Gurtu
Brauchen Sie Unterstützung bei Ihrer Umgebung und Ihren Anforderungen? Schicken Sie uns Ihre Fragen und wir versuchen, sie möglichst schnell zu beantworten.
Kontaktieren Sie uns
