Модуль UBA

Общее описание

Модуль предоставляет механизмы для выявления отклонений в поведении разных типов объектов: пользователей, хостов, администраторов, информационных систем, бизнес-процессов и пр. Универсальный механизм вычисления скоринга позволяет выявлять потенциальных злоумышленников, скомпрометированные учетные записи, вычислять индекс кибербезопасности, анализировать операционную эффективность и трудовую дисциплину, бороться с фродом (любые противоправные или корыстные действия сотрудников или внешних злоумышленников, использующих учетные данные сотрудников, наносящие финансовый или репутационный ущерб компании).

Принцип работы по скорингу

Скоринг — процесс присвоения количественной оценки (балла) каждому действию пользователя или системы. Механизм работает по следующему принципу:

1. Сбор данных - система собирает и анализирует данные о действиях пользователей (логи входа, запуск приложений, посещение сайтов, работа с файлами и т.д.)
2. Формирование поведенческого профиля - на основе исторических данных для каждого объекта (пользователя, хоста и др.) строится профиль поведения — шаблон его типичных действий. Например, обычное время работы, часто используемые программы, посещаемые сайты и т.д.
3. Выявление аномалий - когда текущее действие пользователя значительно отклоняется от его базового профиля, система присваивает этому событию определенный балл риска
4. Агрегация и анализ - баллы от различных аномальных событий агрегируются. Вся статистика скоринга и начисления баллов по каждому пользователю накапливается и доступна для просмотра в индивидуальных профилях объектов, что позволяет аналитикам быстро оценить контекст и историю подозрительной активности

Примеры отклонений

• время подключения по VPN необычно для пользователя
• пользователь подключился по VPN из необычного города или страны
• пользователь запустил крайне редко используемую программу
• пользователь отправил необычно большой объем писем