Detecte ameaças desconhecidas e internas com análises de comportamento de usuários e entidades

Ataques avançados e ameaças generalizadas à sua organização geralmente dependem de credenciais comprometidas que prejudicam a segurança corporativa. Para identificar esses ataques, você precisa de uma solução robusta que permita aos analistas determinar rapidamente a atividade normal e anormal em sua rede.

A Logpoint UEBA aprimora a investigação de padrões incomuns no comportamento do usuário enquanto reduz o tempo gasto na busca de ameaças. Reduza riscos, danos e perda de dados detectando ataques avançados antecipadamente.

Melhore as operações de segurança com detecção automatizada de ameaças

A análise de comportamento de usuários e entidades (UEBA) ajuda os analistas de segurança descobrirem facilmente comportamentos suspeitos e detectar incidentes de segurança que outras soluções não detectam.

Usando aprendizado de máquina avançado, a UEBA cria linhas de base para comportamento normal para cada usuário, grupo de pares e entidade na rede, em vez de aplicar regras predefinidas para comportamento padrão. Ao avaliar a atividade diferente dessas linhas de base, a UEBA detecta comportamentos anormais e de risco que não são imediatamente óbvios. Ela define pontuações de risco para usuários e máquinas e comparam o comportamento de uso de seus pares.

A Logpoint UEBA calcula as pontuações de risco em um intervalo definido de 0 a 100 em vez de uma escala variável, facilitando a priorização dos analistas de segurança. Quanto mais próximo a pontuação estiver de 100, mais arriscado é o comportamento.

A solução UEBA fornece detecção personalizada para cada usuário e entidade selecionadas para que os analistas possam identificar, priorizar e gerenciar anomalias com mais facilidade. Ele capacita seus analistas, acelerando significativamente a busca de ameaças e o tempo de resposta, reduzindo a fadiga de alertas e levando-os a se concentrar no gerenciamento de ameaças que exigem atenção.

Por que Logpoint UEBA?

Captura_de_tela_2022-05-09_084847-removebg-preview.png

Taxonomia única

Nosso SIEM SOAR e UEBA são construídos na taxonomia Logpoint, portanto, nenhuma alteração é necessária em sua infraestrutura para corresponder dados e fornecer eventos para análise de UEBA.

Captura_de_tela_2022-05-09_084859-removebg-preview.png

Valor incomparável

Obtenha solução UEBA em funcionamento na Logpoint desde o primeiro dia, sem integrações demoradas ou custosas. Não há necessidade de ajustar as regras de detecção estática.

Captura_de_tela_2022-05-09_084907-removebg-preview.png

Transferência de dados criptografada

Para sua segurança, os dados confidenciais são criptografados antes de saírem da rede. A chave de criptografia permanece em sua rede e nenhum dado de texto simples sai de sua infraestrutura.

Assista ao nosso webinar para obter percepções sobre perguntas frequentes sobre como adicionar a Logpoint UEBA ao SIEM. Discutimos temas como:

  • O valor que a solução UEBA trará para sua configuração e infraestrutura de TI atual;

  • Os pontos problemáticos que uma solução UEBA de aprendizagem de máquina abordará em sua organização;

  • Quão fácil é usar e integrar com o SIEM;

  • Anomalias de mapeamento UEBA na estrutura MITRE ATT&CK.

O poder do UEBA e do SIEM-SOAR para fortalecer sua postura de segurança

Os produtos Logpoint trabalham juntos para criar as melhores percepções. UEBA é uma ferramenta complementar, disponível em cima da Logpoint SIEM, usando algoritmos avançados para estender os recursos da solução Logpoint SIEM-SOAR e maximizar o valor de seus dados.

Design sem nome (1).png

Enriquecendo seus dados SIEM

Correlacionar os dados do UEBA com eventos SIEM torna os eventos originais mais perspicazes do que nunca. Os dados de log originais podem ser enriquecidos usando as informações da tecnologia de aprendizagem da máquina da solução UEBA, permitindo que você descubra comportamentos suspeitos do usuário. Os incidentes podem ser visualizados usando painéis e modelos de pesquisa para uma busca mais rápida de ameaças.

Economizando seu valioso tempo na caça a ameaças

Uma solução SIEM aprimorada para UEBA libera o tempo gasto na eliminação de falsos positivos e reduz significativamente o tempo de detecção e resposta. Além disso, configurar respostas automatizadas com a ajuda do SOAR torna isso ainda mais eficiente. Capacite sua equipe SOC para trabalhar de forma mais inteligente e se concentrar nas ameaças que importam.

Identifique imediatamente ameaças internas

Descubra comportamentos anormais de forma rápida e eficiente em toda a sua rede, sem a necessidade de criar regras complicadas e predefinidas para alertar comportamentos suspeitos. Cada indivíduo tem hábitos diferentes, portanto, criar uma longa lista do que é permitido seria demorado e difícil, especialmente se empregar centenas de pessoas em todo o mundo.

Ameaças internas

As ameaças internas podem ser detectadas usando recursos de detecção contra outros usuários e entidades na rede. Se alguém se comporta fora da norma organizacional, sugere comportamento anormal e deve ser investigado.

 

  • Maliciosos: Provavelmente a categoria mais conhecida e divulgada de ameaças internas. Normalmente, são entidades que aproveitam seu acesso privilegiado aos recursos da organização para infligir algum tipo de dano à organização.

 

  • Negligentes: Entidades que não praticam a segurança, seguem regulamentações e padrões, etc. Muitas vezes, eles desconhecem, por exemplo, se as políticas de segurança da empresa não foram articuladas.

 

  • Infiltradores: Atores que são, na prática, estranhos, que intencionalmente obtêm acesso interno e muitas vezes temporariamente para atingir seus objetivos.

logpoint-illustration-20220325-01-600x400-removebg-preview.png

Ameaças externas

Ameaças externas podem ser detectadas por padrões comportamentais de usuários e entidades. Se uma conta for comprometida ou um adversário tiver acessado um servidor, as chances são de que o comportamento seja diferente se outro ator estiver por trás das atividades.

Contas comprometidas: São pessoas de fora que obtiveram acesso à conta de uma ameaça.


Ameaças persistentes avançadas: Um adversário obtém acesso não autorizado a uma rede de computadores e permanece indetectável por um longo período.

logpoint-illustration-20220325-03-600x400-removebg-preview.png

MITRE ATT&CK

Na UEBA, o framework MITER ATT&CK é usado para mostrar os tipos de anomalias. Algumas das ameaças mais comuns que a UEBA se destaca no combate do MITRE ATT&CK incluem:

Acesso inicial: Detecta e impede que adversários entrem em sua rede e obtenha acesso contínuo a uma conta privilegiada.


Movimento lateral: Detecta se os adversários estão tentando obter acesso da sua rede para obter acesso adicional a sistemas e contas.

Persistência: Detecta tentativas de manter o acesso aos sistemas mesmo ao reiniciar o sistema ou alterar credenciais.

Comando e controle: Detecta e impede que adversários assumam o controle de sua rede, imitando o comportamento comum na rede com a intenção de assumir o controle de seus sistemas.

Exfiltração:  Detecta se alguém está tentando roubar dados da sua rede.

logpoint-illustration-20220325-02-600x400-removebg-preview.png

Para saber mais sobre os benefícios do nosso produto UEBA, fale com o nosso time: