來(lái)源：https://www.exabeam.com/product/exabeam-advanced-analytics/#close

世界上被部署的最多的UEBA解決方案——使用行為建模和機(jī)器學(xué)習(xí)的現(xiàn)代威脅檢測(cè)。

一、具有行為分析的復(fù)雜威脅識(shí)別

網(wǎng)絡(luò)攻擊變得越來(lái)越復(fù)雜，也越來(lái)越難以發(fā)現(xiàn)。關(guān)聯(lián)規(guī)則常常找不到攻擊，因?yàn)樗鼈內(nèi)狈ι舷挛?，或者錯(cuò)過(guò)了從未見(jiàn)過(guò)的事件，從而產(chǎn)生錯(cuò)誤的否定。相關(guān)規(guī)則也需要大量的維護(hù)。高級(jí)分析可以自動(dòng)檢測(cè)出威脅的行為?，F(xiàn)在團(tuán)隊(duì)不需要花時(shí)間在經(jīng)常出錯(cuò)的相關(guān)規(guī)則上。

二、預(yù)構(gòu)建的時(shí)間線自動(dòng)重構(gòu)安全事件

分析人員不應(yīng)該花費(fèi)數(shù)天或數(shù)周的時(shí)間來(lái)收集證據(jù)，并通過(guò)SIEM進(jìn)行查詢和轉(zhuǎn)向，構(gòu)建事件的時(shí)間線。使用高級(jí)分析，預(yù)構(gòu)建事件時(shí)間線標(biāo)記異常并顯示事件的全部范圍及其上下文的事件細(xì)節(jié)?，F(xiàn)在，分析師們可以不再花時(shí)間仔細(xì)研究原始日志來(lái)調(diào)查事件?；藥字軙r(shí)間調(diào)查遺留的SIEM，現(xiàn)在可以在幾秒鐘內(nèi)完成。

三、動(dòng)態(tài)對(duì)等分組

用戶行為模式常常基于無(wú)數(shù)的屬性而有所不同，包括:他們所在的團(tuán)隊(duì)、他們參與的項(xiàng)目、他們所在的位置等等。因此，行為基線不應(yīng)該是靜態(tài)的。動(dòng)態(tài)對(duì)等分組使用機(jī)器學(xué)習(xí)將用戶根據(jù)他們的行為分配給組，然后將他們的活動(dòng)與這些組的活動(dòng)進(jìn)行比較，以識(shí)別異常的、危險(xiǎn)的行為。

四、橫向運(yùn)動(dòng)檢測(cè)

橫向移動(dòng)是攻擊者通過(guò)使用IP地址、憑據(jù)和機(jī)器搜索關(guān)鍵資產(chǎn)來(lái)在網(wǎng)絡(luò)中移動(dòng)的一種方法。跟蹤是困難的，因?yàn)楦櫺畔⒅桓嬖V故事的一部分。必須從任何地方分析數(shù)據(jù)，將攻擊與源連接起來(lái)。先進(jìn)的分析專利技術(shù)跟蹤可疑的活動(dòng)，即使對(duì)設(shè)備、IP地址或憑證進(jìn)行了更改。

五、資產(chǎn)所有權(quán)協(xié)會(huì)

執(zhí)行安全調(diào)查的另一個(gè)時(shí)間密集型部分是手動(dòng)過(guò)程，以確定誰(shuí)擁有或經(jīng)常使用與事件相關(guān)的設(shè)備。沒(méi)有方便的IT數(shù)據(jù)庫(kù)將設(shè)備連接到它們的所有者，移動(dòng)設(shè)備可以存在于任何跟蹤之外。高級(jí)分析可以根據(jù)他們的行為和交互模式來(lái)確定設(shè)備的所有者。

Exabeam威脅獵手

一、易于使用的指向和點(diǎn)擊的界面

威脅獵人點(diǎn)擊界面簡(jiǎn)化了創(chuàng)建復(fù)雜搜索查詢的過(guò)程?，F(xiàn)在，SOC中的任何人都可以輕松地開(kāi)發(fā)快速搜索，使用傳統(tǒng)查詢可能非常困難或不可能。

二、完成事件時(shí)間表的工作

威脅查詢使用SIEM的語(yǔ)法——需要具有正確技能的分析師。查詢還返回大量日志，因此當(dāng)發(fā)現(xiàn)威脅時(shí)，分析人員必須通過(guò)旋轉(zhuǎn)和查詢其SIEM來(lái)收集剩余的證據(jù)。這涉及手工步驟，可能需要數(shù)周時(shí)間。威脅獵人是為所有級(jí)別設(shè)計(jì)的，提供自動(dòng)事件時(shí)間線而不是為快速和主動(dòng)的威脅搜索日志。

三、安全警報(bào)的實(shí)名搜索

像來(lái)自反惡意軟件或DLP工具的警報(bào)ID是許多安全調(diào)查的起點(diǎn)。這樣的搜索結(jié)果通常會(huì)產(chǎn)生大量復(fù)雜的事件日志。使用“威脅獵人”，輸入警報(bào)ID或IP地址將自動(dòng)生成事件時(shí)間線，顯示安全事件是如何展開(kāi)的——以實(shí)現(xiàn)對(duì)威脅的完全態(tài)勢(shì)感知。