Détectez les menaces internes et les attaques externes

Les menaces actuelles sont généralement le fait d'agresseurs externes ou d’initiés malveillants. Ces derniers sont plus difficiles à détecter car les produits de sécurité traditionnels ne ciblent pas le comportement, et les attaques externes sophistiquées s'appuient sur des techniques innovantes et se mettent en place de façon discrète, sur le long terme. Pour y remédier, les outils de sécurité de nouvelle génération doivent analyser des milliards d'événements sur une longue période et appliquer une nouvelle philosophie de détection basée sur la modélisation du comportement et l’analyse de groupes de pairs, par opposition à l’ancienne approche basée sur des règles et des signatures.

Splunk UBA est une solution prête à l’emploi basée sur une plateforme « big data » (Hadoop) qui aide les entreprises à découvrir les menaces connues, inconnues et dissimulées. Elle applique une approche basée sur la data science qui produit des résultats exploitables incluant des scores de risque et des données probantes afin que les analystes et les enquêteurs SOC puissent rapidement prendre en charge et étudier les menaces.

Splunk User Behavior Analytics :

  • Détecte les menaces internes et les attaques externes à l’aide d’algorithmes d'apprentissage machine (ML) spécialisés et prêts à l’emploi mais extensibles
  • Fournit du contexte sur les menaces en établissant des corrélations entre les anomalies basées sur le ML, puis une cartographie visuelle des anomalies corrélées sur les différentes phases du cycle de vie des attaques (vue de la kill-chain)
  • Améliore l’efficacité du SOC en classant les menaces et en fournissant des données probantes
  • Prend en charge l’intégration bidirectionnelle avec Splunk Enterprise pour l’ingestion et la corrélation des données, et avec Splunk Enterprise Security pour l'évaluation de la portée des incidents, la gestion du workflow et l’automatisation de la réponse
Pour commencer
  • Fiche produit Splunk User Behavior Analytics
  • Dossier technique Utilisation de Splunk® User Behavior Analytics
  • Cas d'utilisation Splunk UBA Menaces internes
  • Cas d'utilisation Splunk UBA Menaces externes
  • Vidéo Splunk UBA
    Détectez les attaques externes et les menaces internes

Présentation du produit User Behavior Analytics

Principales fonctionnalités de Splunk User Behavior Analytics

fondation big data

Fondation Big data

Bâti sur une fondation Big data (Hadoop), Splunk UBA peut traiter des milliards d’événements par jour et prend en charge l’analyse de centaines de milliers d’entités au sein d'une entreprise.
apprentissage machine

Apprentissage machine

Des algorithmes d'apprentissage machine spécialisés et non supervisés produisent des résultats hautement efficaces en temps réel pour la prise en charge des incidents et la détection des menaces, sans qu’il faille former l’algorithme ou attendre une intervention de l’utilisateur.
référence comportementale multi-dimensionnelle

Référence comportementale multi-dimensionnelle

Les données historiques et temps réel facilitent la création de références comportementales permettant ensuite de détecter les anomalies et d’avoir une visibilité sur les indicateurs opérationnels.
étude et analyse des menaces

Détection et visualisation des menaces en temps réel

Les algorithmes d'apprentissage machine autonomes peuvent établir automatiquement des liens entre les anomalies pour explorer les menaces puis les présenter sur une kill-chain à l’intention d'un analyse SOC. 

Intégration bidirectionnelle avec Splunk Enterprise et Splunk Enterprise Security (Splunk ES)

Les intégrations transparentes avec Splunk Enterprise pour l’ingestion des données, et le transfert en temps réel des anomalies et des menaces vers Splunk ES, permettent aux organisations d’obtenir des renseignements visuels sur leur position de sécurité et d'automatiser leurs workflows.

Cas d'utilisation Splunk UBA

Les clients utilisent Splunk UBA pour les cas d’utilisation suivants :
Exfiltration des données
Identifiez rapidement les preuves d'une exfiltration des données de vos actifs, ou par des utilisateurs de votre organisation.
Piratage de compte et abus de compte privilégié
Détecter rapidement des comptes compromis et obtenez une visibilité complète sur les menaces liées aux comptes privilégiés.
Compromission des applications cloud
Bénéficiez d’une visibilité complète sur l’accès et l’activité en lien avec les applications (locales et dans le cloud) et de renseignements sur l’utilisation détournée ou malveillante de ces applications.
Comportements inhabituels : Utilisateur, appareil et application
Identifiez les menaces et anomalies liées aux utilisateurs et autres entités d'une organisation : User and Entity Behavior Analytics (UEBA).
Détection des logiciels malveillants et des mouvements latéraux
Détectez les logiciels malveillants et autres agents de menace lorsqu’ils se déplacent latéralement au sein de votre réseau, et communiquent avec les serveurs internes et externes.

Workflows disponibles avec Splunk UBA

Splunk® UBA cartographie les menaces et anomalies au cœur d'un processus d'attaque afin d'initier une multitude de workflows répondant aux besoins des analystes et des enquêteurs.
Exploration des anomalies
Le cadre de détection des anomalies, entièrement automatisé et personnalisable, permet à un enquêteur d’explorer les résultats de l’apprentissage machine, d’identifier les infractions clés et de repérer les tendances suspectes.
Threat Detection
Un cadre de détection des menaces, entièrement automatisé et personnalisable, pour prendre en charge les menaces internes et les attaques externes telles que les infections de malware, les abus de compte privilégié, les exfiltrations de données, les comportements inhabituels et plus.

Pourquoi utiliser Splunk for User Behavior Analytics

Splunk UBA renforce votre équipe de sécurité et la rend plus productive en détectant les menaces qui passeraient autrement inaperçues en raison d’un manque de ressources humaines et de temps. Son puissant cadre d'apprentissage machine, ses possibilités de personnalisation et ses nombreux usages aident les organisations à détecter les menaces connues, inconnues et dissimulées. Splunk UBA couvre tout le cycle de vie d'une attaque, qu’elle soit interne ou externe, et donne aux clients la possibilité de détecter, prendre en charge et contenir les menaces grâce à Splunk Enterprise Security.

Demander un expert

Besoin d'aide pour comprendre les besoins de votre environnement ? Envoyez-nous vos questions et nous vous répondrons dans les meilleurs délais.

 

Écrivez-nous à l'adresse ubainfo@splunk.com.

 

Si vous avez besoin d'une aide immédiate, consultez notre forum communautaire, Splunk Answers.

 

 

 

 

expert vi ly