UEBA 產品選型的七大評估指標

ueba解決方案致力通過使用人工智慧、機器學習、高階分析、資料富化和資料科學等新興科技來有效應對高階威脅、未知威脅。ueba解決方案將所有資料材料組合在一起進行分析、並自動合成結果，ml系統通過行為建模進行自我調整，安全分析師最終獲得的資料量較少、但保真度極高，不會淹沒警報，對於企業級客戶而言非常有價值維護開銷很低。通過ueba解決方案企業客戶可獲得真正有效的針對未知攻擊的面向未來的解決方案。

當前市場上存在著許多**商聲稱可以提供ueba功能，但其實現方式各異、使評估比較變得相對困難。企業單位可使用以下指標來指導選擇有效的ueba解決方案。

1.1 具備在使用者會話時間軸內顯示正常活動和異常活動的能力

「正常」活動是給定使用者和該使用者的對等使用者的典型行為，需要顯示上下文。例如，此使用者通常訪問特定的伺服器還是該敏感資料庫？該使用者通常通過烏克蘭的vpn通過網路訪問網路嗎？該使用者通常將大檔案上傳到網盤嗎？另外，使用者的對待體組通常也做同樣的事情嗎？ueba應該具備在使用者會話時間軸內顯示正常活動和異常活動的能力。這使調查人員可以在更廣泛的範圍內了解情況，從而大大減少了在資料收集，驗證和後續調查上花費的時間。

正常行為的展示也證明了檢測結果不是來自靜態的相關性規則，因為規則僅在滿足不良條件時才會觸發，在非惡意條件下不會有任何顯示。這也是區別是通過ml技術還是關聯性分析技術來實現的乙個重要特徵。

1.2 具備將主機鏈結到ip和使用者身份的能力

hostname很多，通常不提供很多有用的標識資訊。ip位址也可能是dhcp隨機分配的，帳戶憑據有可能是共享的（尤其是管理帳戶）。主機到ip到使用者的對映將在特定時間使用特定ip位址將特定主機上的活動歸於特定人員。即使使用共享帳戶，ueba也可以顯示出將主機主動鏈結到ip和身份的能力。這使威脅檢測更加有效。手動連線這些點可能需要數小時的工作，因此自動執行這些操作會大大減少調查和採取補救措施的時間。

1.3 具備檢測橫向移動的能力

帳戶遭到入侵的關鍵指標是橫向移動。在攻擊鏈的早期，黑客將在整個網路中移動以尋找有價值的資訊，在使用者憑據和裝置之間跳轉以掩蓋其活動、避免被檢測到。即使使用者更改帳戶、機器或ip位址，ueba也應展示出跟蹤橫向移動的能力，此功能可確保有效檢測和更準確的事件調查。

1.4 具備自動建立所有事件的時間表的能力

活動資料以事件的形式生成，但是檢測和響應需要時間表。將事件縫合到一致的時間軸中通常需要大量的人工，需要花費數小時或數天的時間。完整的時間表應包括使用者和所有其他實體在從登入到登出的會話期間與之互動的所有活動，並使用來自所有相關端點、網路、安全性和其他系統的資料。ueba應該展示出能夠快速、自動地生成一致的使用者活動時間表的能力。許多ueba工具沒有提供事件調查的時間表，有些充其量只能提供部分內容。機器構建的時間軸可提供更好的介面，初級分析師可以輕鬆使用它，而不是呈現離散事件。

1.5 具備快速部署並顯示價值的能力

當您的組織考慮使用ueba選項時，請尋找可以在相對短時間內部署起來的能力，並且提供內建用例，而無需從頭開始自定義所有內容。ueba應展示其設計和能夠在較短時間內部署並開始執行的能力，並顯示出明顯的價值。

1.6 無需任何額外費用即可輕鬆滿足未來需求

ueba應該展示出可以擴充套件和擴充套件到新功能的能力，而無需專業服務或**商提供的新工程。當客戶更改環境，新增新的資料來源或嘗試解決新的用例時，需要大量服務來設定和調整其部署的**商通常需要付出相同的努力，而所需的成本卻會降低，有效的ueba可以輕鬆隨需求變化顯示價值。

1.7 提供主動的威脅搜尋功能

使用ueba解決方案進行威脅搜尋需要對收集的安全資料執行簡單和複雜的搜尋。它不需要對專有查詢語言有深入的了解，不需要對語法的嚴格關注，也不需要將多個更簡單的搜尋結果組合在一起。返回結果也不需要花費幾個小時。由機器構建的時間線驅動的威脅搜尋功能具有廣泛的下拉列表，涵蓋了各種潛在的論點，對會話化（即高度索引）的資料進行操作並返回完整的事件時間線–而不是提供一組看似無關的事件記錄。

結論評估ueba的**商實施方案的變化可能會很困難，上述的的7條標準指南為企業單位提供了一條使比較過程更容易的清晰途徑。

UEBA 產品選型的七大評估指標

產品經理常犯的七大錯誤

產品經理常犯的七大錯誤

產品經理常犯的七大錯誤

UEBA 產品選型的七大評估指標

產品經理常犯的七大錯誤

產品經理常犯的七大錯誤

產品經理常犯的七大錯誤

相關推薦