UEBA

User and Entity Behavior Analytics

Поведенческий анализ

Поведенческий анализ с выстраиванием моделей для пользователей и различных объектов инфраструктуры, обнаружением отклонений при помощи ML-моделей, правил корреляции и статического анализа "сырых" событий (с учётом их источников, "веса", последовательности и других параметров)

# UBA, ML, статический анализ, корреляция

Материалы

Документация

Security Vision UEBA (презентация) application/pdf 2033947 Байт Security Vision UEBA (описание) application/pdf 136318 Байт

Обзор продукта

Security Vision UEBA обнаруживает изменения в работе пользователей и учётных записей, устройств и процессов, объёмных показателей трафика и других поведенческих атрибутов.

Анализируя сырые потоки данных из разных источников (озёра данных, SIEM, NGFW, proxy-сервера и другие сетевые и Windows/Linux устройства) продукт обеспечит обнаружение новых типов инцидентов. Встроенные возможности поведенческого анализа можно дополнять, настраивая новые или адаптируя существующие sigma-правила и правила корреляции.

Применение продукта

Сбор «сырых» событий от различных источников

Интеграция с СЗИ и другими источниками событий ИБ, при сборе события преобразуются в инциденты при накоплении их количества (например, при превышении объёмных показателей) и суммарного веса (каждое событие имеет вес). Имеются белые списки (для исключений) и списки критичных систем (для автоматического создания инцидентов без учёта событий и их веса)

Комбинирование технологий анализа

~30 уникальных правил корреляции в комбинации с методами математической статистики (~50 встроенных правил) и машинного обучения: open-source датасеты (ddos, bot, lateral, malware, suspicious и др.), эмуляция сценариев атак на киберполигоне Security Vision, а также с обучением системы на трафике клиента (модели «с учителем»)

Встроенные процессы расследования и реагирования

Возможность автоматической отправки новых инцидентов и событий в SOAR или SIEM, автоматическое обогащение информации по объектам из внутренних и внешних источников (AD, Whois и др.) а также встроенные действия по реагированию (добавление в blocklist’ы NGFV, добавление в active list’ы SIEM и другие операции)

Схема работы и взаимодействия с инфраструктурой

Продукт соответствует требованиям регуляторов

Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.