افزونه امنیتی User Behavior Analytics یا به اختصار UBA یک افزونه بسیار کاربردی و مهم جهت تحیلیل رفتار کاربران میباشد که در ادامه این متن به ذکر توانمندیها و ویژگیهای آن میپردازیم. جهت استفاده از این افزونه ابتدا باید با استفاده از یک اکانت خریداری شده روی سایت شرکت اسپلانک نسبت به دانلود فایل نصبی این افزونه که به صورت tar.gz میباشد اقدام نمود. سپس این فایل را میتوان روی یک سیستم عامل اورجینال ردهت یا اوراکل نصب و پیاده سازی نمود. لایسنس اسپلانک UBA نیز از لایسنس اسپلانک مجزا بوده و نیاز به یک لایسنس جداگانه دارد. لایسنس UBA بر اساس تعداد کاربران سازمان و مدت اعتبار صادر میشود که معمولا از لایسنس هزارتایی یا دو هزارتای با مدت اعتبار 10 سال استفاده میشود. این افزونه نیز همانند تمام محصولات امنیتی دیگر نیاز به بروزرسانی دائمی دارد و بایستی به صورت دوره ای آخرین نسخه از فایل tar.gz منتشر شده روی سایت اسپلانک، دانلود و جهت بروزرسانی افزونه UBA مورد استفاده قرار گیرد.
این افزونه به سازمانها کمک میکند تا تهدیدات شناخته شده، ناشناخته و پنهان را با استفاده از یادگیری ماشینی و بررسی رفتارهای غیرعادی کاربران، برنامه ها و تجهیزات را شناسایی کنند و تهدیدات APTs، آلودگیهای بدافزار و تهدیدات داخلی را کشف و خنثی نمایند. Splunk UBA به منظور پشتیبانی از تحلیلگران امنیتی و شکارچیان تهدیدات طراحی شده است و نیاز به مدیریت کمی دارد. این افزونه الگوهای حمله را به طور دقیق شناسایی میکند و با زیرساختهای موجود از جمله سامانه SIEM یکپارچه میشود تا تهدیدات پنهان را شناسایی کند. لایسنس اسپلانک UBA رویدادهای ورودی را تجمیع کرده و آنها را در یک مخزن “تحلیلی” مقیاسپذیر ذخیره میکند تا رویدادهای خام را کاهش دهد. دقت تجمیع و دوره نگهداری دادهها نیز قابل پیکربندی است. این افزونه از یادگیری ماشینی برای پروفایلسازی رفتار عادی هر کاربر و دارایی استفاده میکند و سپس به دنبال الگوهای رفتار غیرعادی در میان تمام کاربران و داراییها میگردد. برای کمک به تحلیلگران در تمرکز بر تهدیدات حیاتی که بیشترین خطر را برای سازمان دارند، پس از شناسایی ناهنجاریها، لایسنس Splunk UBA مجدداً از مدلهای یادگیری ماشینی استفاده میکند و به دنبال الگوهای غیرعادی در ناهنجاریهای شناساییشده میگردد. این ناهنجاریها نشاندهنده یک تهدید با دقت بالا هستند.
گزارش ناهنجاریها توسط مدلهای جریانمحور، مدلهای دستهای، و قوانین تشخیص ناهنجاری تولید میشود. ناهنجاریها شواهدی از وجود یک تهدید بالقوه را ارائه میدهند و مدلهای دستهای بر روی رویدادهای تجمیعشده و بررسی احتمال وجود تهدیدات پنهان در آنها کار میکنند.
این افزونه تهدیدات را در چندین مرحله از یک حمله به صورت بصری نمایش میدهد تا به تحلیلگران امنیتی درک جامعی از علت اصلی حمله، دامنه، شدت و زمانبندی آن ارائه دهد. این اشراف کامل از اطلاعات به تحلیلگران اجازه میدهد تا به سرعت تأثیرات حمله را ارزیابی کرده و با اطمینان و به سرعت تصمیمات مناسب و آگاهانهای را اتخاذ نمایند.
لایسنس اسپلانک UBA بهطور خودکار و هوشمند میلیاردها رویداد خام را بررسی و تحلیل نموده و به دهها تهدید واقعی و بالقوه کاهش میدهد تا امکان بررسی سریع تهدیدات فراهم شده و نیاز به کارهای تحقیقاتی زمانبر توسط یک تیم بزرگ از متخصصان امنیت و تحلیل گران با مهارتهای بالا مرتفع شود. مدیران امنیت قادر خواهند بود حرکات بد افزارها یا الگوی گسترش آهسته و پنهان در شبکه را کشف نموده و فعالیت تمام Botnet ها یا هرگونه ارتباط داخلی با مرکز کنترل و فرماندهی (C&C) را شناسایی کنند.
یکپارچهسازی افزونه های ES و UBA روی بستر نرمافزار اسپلانک Enterprise مزایای متعددی را برای مدیران امنیت به ارمغان میآورد و تغییر محسوس و قابل توجهی در افزایش سطح امنیت سایبری سازمان ایجاد میکند. از جمله این مزایا میتوان به موارد زیر اشاره کرد:
نما و دید متمرکز: این راهحل یک نما و دید جامع و متمرکز از تمام رخداد های امنیتی برای مدیریت و بررسی بهتر حوادث فراهم میکند.
پاسخ سریع: این راهحل میتواند به تیمهای مرکز عملیات امنیتی (SOC) یاری نماید تا به تهدیدات با دقت و سرعت بالاتری پاسخ دهند.
شناسایی تهدید: این دو افزونه میتوانند اطلاعات را بین یکدیگر به اشتراک بگذارند تا انواع مختلف تهدیدات امنیتی را شناسایی نمایند.
امتیازدهی به سطح ریسک: تهدیدات و ناهنجاریها میتوانند از Splunk UBA به ESارسال شوند تا ریسک های موجود بر اساس سطح ریسک و اولویت هریک از آنها امتیازدهی و دستهبندی شوند.
اشتراک گذاری نتایج: نتایج جستجوی های انجام شده از ES به UBA ارسال میشود تا برای پردازش ناهنجاریها استفاده شود.
دادههای ارتباط کاربران و دستگاهها: این دادهها از لایسنس اسپلانک UBA استخراج میشود تا در ES مشاهده و بررسی شود.
نظارت بر دادهها و تهدیدات در زمان واقعی: این راهحل تصویری واضح از وضعیت امنیتی سازمان ارائه میدهد.
اولویتبندی تهدیدات: این راهحل میتواند تهدیدات را اولویتبندی نماید تا توانایی شناسایی آنها را افزایش داده و پاسخ به حوادث را بهینهسازی نموده و تسریع بخشد.
Enhanced Detection of Insider Threats, Improved Incident Response, Risk and Compliance Management, Detecting Compromised Credentials, Identifying Data Exfiltration, User behavior analytics cybersecurity, Advanced Threat Detection, Reducing False Positives, Forensic Capabilities, Dynamic Pattern Recognition, Predictive Analysis, Automated Response
