使用机器学习防止内部威胁

Splunk用户行为分析 (UBA) 是一种以机器学习为基础的企业内部威胁解决方案,旨在找出用户、端点设备和应用程序的未知威胁和异常行为,为您提供解决企业内部威胁的解决方案。它不仅关注外部攻击,而且更侧重于发现内部威胁。它利用机器学习算法产生具有可操作性的风险评级结果,并提供证据表明增强安全运营中心 (SOC) 分析师现有技术的必要性,以此促使相关人员加快行动。此外,它为安全分析师和威胁寻找员提供可视化的枢纽点,以便主动调查异常行为。

Splunk 用户行为分析软件:

  • 使用以行为为中心的专用和可配置的机器学习框架,利用无监督的算法来增强检测用户足迹
  • 自动将数百个异常拼接为单个威胁,增强 SOC 分析师用户和实体行为分析 (UEBA) 的能力
  • 攻击可分为多个阶段,通过将不同阶段的威胁可视化来提供增强的背景环境
  • 支持与Splunk Enterprise进行双向集成,进行数据采集和关联,并使用 Splunk 企业安全 (ES) 进行事件范围界定、调查和自动响应
开始使用
  • 产品简介 Splunk 用户行为分析
  • 技术摘要 使用 Splunk® 用户行为分析
  • Splunk UBA 使用案例 内部威胁
  • Splunk UBA 使用案例 外部威胁
  • Splunk UBA 动画视频
    检测外部威胁和内部威胁
  • 451 影响报告 Splunk 将机器学习转化为机器数据分析
 

用户行为分析产品导览

Splunk 用户行为分析主要功能

用户行为分析以大数据为基础

大数据基础(Hadoop、Spark 和 GraphDB)

Splunk UBA用户行为分析系统在大数据的基础上构建起来,可水平扩展,每天处理数十亿事件,并支持分析数十万个组织实体。
利用机器学习技术分析用户行为

无人监督的机器学习

专门构建的无人监督机器学习算法产生较少的误报,提供广泛的覆盖范围并产生高度可信的结果,这有助于事件响应和寻找威胁。
多维行为基线

多维行为基线

历史和实时数据有助于创建行为基线,例如,概率后缀树、计数多个时间序列和更多 - 这有助于识别异常值并提供组织度量的可见性。
用户行为分析帮助威胁审查和探索

自定义威胁生成

定制底层机器学习框架,针对感兴趣的异常进行修改,并通过细粒度控制来解决定制用例。
用户行为监测

用户监控和观察列表

使用自定义小部件或即时观察列表监视用户及其活动,以便快速方便地访问。
抑制异常的用户行为

异常抑制与评分

通过提供自定义评分确定检测到的异常的优先级,并抑制触发的异常,以获得更高的保真度威胁。
用户行为分析和企业安全解决方案相结合

Splunk Enterprise 和 Splunk 企业安全的双向整合

与Splunk Enterprise无缝集成以进行数据采集,将异常和威胁实时传输到Splunk企业安全系统,通过高保真警报帮助机构获得对其安全状态的可视化见解并自动响应。
 

Splunk 用户行为分析安全用例

客户将 Splunk UBA 用于以下用例:

检测数据泄露
快速查找机构内资产或用户数据泄露的证据,包括关注数据丢失防护 (DLP) 警报、云访问安全性代理 (CASB) 日志、网络流量数据或两者皆有。
内部访问滥用,包括特权滥用
识别用户 - 包括员工和受信任的第三方 - 滥用权限导致超额或未经授权的访问数据,甚至滥用系统权限。
提供调查背景和信息
提供来自用户和个体行为分析、异常和威胁的信息,以执行警报分类和事件调查。
 
 
用户行为分析-检测受损端点
检测受损端点
确定已被破坏、被恶意软件感染或以其他方式表现可疑的网络端点,并洞察误用或滥用的应用程序,获得相关信息。
用户行为分析-客户使用案例
客户使用案例
自定义拼接异常模型,并附上自己的风险评分和补救措施,从而编写新的使用案例。
 

Splunk 用户行为分析中可用的工作流

Splunk UBA 会在杀伤链中映射威胁和异常情况,以推动多个满足安全分析需求的工作流。
异常探索
完全自动化和可定制的异常检测框架使寻找者能够探索机器学习成果,识别关键的违规行为并发现可疑模式。
威胁检测
完全自动化和可定制的威胁检测框架解决内部威胁和定制用例,例如特权帐户滥用、横向移动、可疑行为等。
网络行为分析
分析各类网络行为,了解用户和个体活动、同类群组、内部和外部风险百分比等。

两个高级解决方案相辅相成

通过组合Splunk ES和Splunk UBA,机构可通过人为驱动和机器驱动两种解决方案的力量获得最大的价值,以检测并解决威胁和异常。

用户行为分析与企业安全解决方案相辅相成

Splunk用户和实体行为分析的优势

安全团队可能会由于缺乏人员、资源和时间而遗漏某些威胁,Splunk UBA通过找到这些威胁来协助您安全团队的工作,使他们有更高的成效。用户行为分析系统强大的机器学习框架、可定制性和广泛的使用案例帮助组织自动检测未知威胁和异常行为。Splunk UBA与 Splunk Enterprise和Splunk企业安全能实现无缝集成,通过端到端事件或违规解决方案为企业提供安全帮助。

咨询专家

Anurag Gurtu

在您的环境和要求方面需要帮助吗?将您的问题发送给我们,我们会尽快回复您。

联系我们
vi ly 专家