使用机器学习防止内部威胁

Splunk 用户行为分析 (UBA) 是一种以机器学习为支持的解决方案,提供您需要的答案,以查找用户、端点设备和应用程序的未知威胁和异常行为。它不仅关注外部攻击,而且侧重于内部威胁。它的机器学习算法产生具有风险评级的可操作结果,并提供证据表明增强安全运营中心 (SOC) 分析师现有技术以加快行动。此外,它为安全分析师和威胁寻找员提供视觉枢纽点,以便主动调查异常行为。

Splunk 用户行为分析软件:

  • 使用以行为为中心的专用和可配置的机器学习框架,利用无监督的算法来增强检测足迹
  • 通过将数百个异常自动拼接为单一威胁,增强 SOC 分析师用户和实体行为分析 (UEBA) 功能 
  • 通过在攻击的多个阶段可视化威胁来提供增强的上下文
  • 支持与 Splunk Enterprise 进行双向集成,以进行数据采集和关联,并使用 Splunk 企业安全 (ES) 进行事件范围界定、调查和自动响应
开始使用
  • 产品简介 Splunk 用户行为分析
  • 技术摘要 使用 Splunk® 用户行为分析
  • Splunk UBA 使用案例 内部威胁
  • Splunk UBA 使用案例 外部威胁
  • Splunk UBA 动画视频
    检测外部威胁和内部威胁
  • 451 影响报告 Splunk 将机器学习转化为机器数据分析

用户行为分析产品导览

Splunk 用户行为分析主要功能

大数据基础

大数据基础(Hadoop、Spark 和 GraphDB)

使用大数据基础构建,Splunk UBA 可水平扩展,每天处理数十亿事件,并支持分析数十万个组织实体。
机器学习

无人监督的机器学习

专门构建的无人监督的机器学习算法产生较少的误报提供广泛的覆盖并产生高度可信的结果,这有助于事件响应和寻找威胁。
多维行为基线

多维行为基线

历史和实时数据有助于创建行为基线,例如,概率后缀树、计数多个时间序列和更多 - 这有助于识别异常值并提供组织度量的可见性。
威胁审查和探索

自定义威胁生成

定制底层机器学习框架,以拼接感兴趣的异常,并通过细粒度控制来解决定制用例。
监测

用户监控和观察列表

使用自定义小部件或即时观察列表监视用户及其活动,以便快速方便地访问。
抑制

异常抑制与评分

通过应用自定义分数确定检测到的异常的优先级,并抑制触发的异常,以获得更高的保真度威胁。

Splunk Enterprise 和 Splunk 企业安全的双向整合

与 Splunk Enterprise 无缝集成以进行数据采集,将异常和威胁实时传输到 Splunk 企业安全,通过高保真警报帮助组织获得对其安全状态的视觉洞察并自动响应。 
 

Splunk 用户行为分析安全用例

客户将 Splunk UBA 用于以下用例:

检测数据泄露
快速查找组织内资产或用户数据泄露的证据,包括关注数据丢失防护 (DLP) 警报、云访问安全性代理 (CASB) 日志、网络流量数据或两者。
内幕访问滥用,包括特权滥用
识别用户 - 员工和受信任的第三方 - 滥用权限导致过度或未经授权的访问数据,甚至滥用系统权限。
提供调查背景和信息
提供来自用户和实体行为分析、异常和威胁的信息,以执行警报分类和事件调查。
Detectcompromisedendpoint
检测受损端点
确定已被破坏、被恶意软件感染或以其他方式表现可疑的网络端点,并获得对误用或滥用应用程序的洞察。
Customusecase
客户使用案例
通过自定义拼接异常模型编写新的用例,并叠加自己的风险分数和补救措施。

Splunk 用户行为分析中可用的工作流

Splunk UBA 会在杀伤链中映射威胁和异常,以推动多个解决 安全分析需求的工作流。
异常探索
全自动化和可定制的异常检测框架使寻找者能够探索机器学习成果,识别关键违规行为并发现可疑模式。
威胁检测
全自动化和可定制的威胁检测框架解决内部威胁和定制用例,例如特权帐户滥用、横向移动、可疑行为等
网络行为分析
了解用户和实体活动、同行小组、内部和外部风险百分比等。

两个高级解决方案一起工作

通过组合 Splunk ES 和 Splunk UBA,组织通过人为驱动和机器驱动解决方案的力量获得最大的价值,以检测和解决威胁和异常。

为何选择 Splunk 用户和实体行为分析?

Splunk UBA 增强了您现有的安全团队,并通过发现由于缺乏人员、资源和时间而被遗漏的威胁来使他们更有成效。其强大的机器学习框架、可定制性和广泛的用例帮助组织自动检测未知威胁和异常行为。Splunk UBA 与 Splunk Enterprise 和Splunk 企业安全无缝集成,通过端到端事件或违规解决方案提供帮助。

咨询专家

Anurag Gurtu

在您的环境和要求方面需要帮助吗?将您的问题发送给我们,我们会尽快回复您。

联系我们
vi ly 专家