UEBA, o recurso de detecção de anomalias de uma solução SIEM, é usado para identificar ameaças internas e ataques externos. A UEBA usa dados históricos para estabelecer uma linha de base de comportamento normal para cada usuário e entidade. Em seguida, monitora os usuários e entidades em tempo real para determinar se eles seguem o mesmo padrão de comportamento ou se desviam dele. Qualquer desvio da linha de base da normalidade será considerado uma anomalia e, dependendo do grau de desvio, será determinada uma pontuação de risco.
Alimentado por algoritmos de aprendizado de máquina, o UEBA procura anomalias em relação ao tempo, contagem e desvios de padrão. Neste blog, vamos dar um passo adiante e aprender sobre como você pode aprimorar o recurso de pontuação de risco na UEBA, especificamente com análise de grupo de pares.
Antes de mergulharmos na análise do grupo de pares, vamos nos lembrar do que é uma pontuação de risco e por que ela é importante. Uma pontuação de risco é um valor atribuído pela sua solução SIEM. Diferentes soluções de SIEM classificam os riscos de maneiras diferentes, mas uma maneira popular é atribuir uma pontuação de risco de zero a 100, dependendo das atividades realizadas pelos usuários e entidades e quão anormais elas são. Quanto mais anormal o comportamento ou atividade, maior será a pontuação de risco. Esse aspecto do UEBA torna mais fácil para os analistas de segurança priorizar qual ameaça precisa ser mitigada primeiro. Isso significa que quanto mais precisa sua pontuação de risco, menor a chance de falsos positivos e ainda menor a chance de um ataque bem-sucedido.
A precisão da pontuação de risco pode ser melhorada considerando os fatores de sazonalidade e o agrupamento de pares ao calcular a pontuação de risco de um usuário.
Sazonalidade
Se uma atividade ocorre com um grau específico de regularidade, como por hora, diariamente, semanalmente ou mensalmente, ela é considerada sazonal. Se essa atividade sazonal ocorrer fora da rotina, deve ser considerada uma anomalia e sua solução UEBA deve ser capaz de detectá-la. Por exemplo, um banco de dados que normalmente é acessado apenas no final do mês sendo acessado no meio do mês seria considerado uma anomalia. Você pode aprender mais sobre a importância da sazonalidade na detecção de anomalias aqui.
Análise de grupo de pares
A análise de grupo de pares é uma técnica alimentada por algoritmos de aprendizado de máquina, em que modelos estatísticos são empregados para identificar usuários e hosts que compartilham características semelhantes e categorizá-los como um grupo. A ideia por trás do agrupamento de pares é que, ao identificar o contexto por trás do comportamento de um usuário e compará-lo com o comportamento de um grupo de pares relevante, a eficiência e a precisão da pontuação de risco aumentarão. Essencialmente, se o padrão de seu desvio for semelhante ao de seu grupo de colegas, sua pontuação de risco não será afetada negativamente. No entanto, se suas ações não se enquadrarem no comportamento esperado de qualquer grupo de pares relevante, isso será considerado anômalo e sua pontuação de risco aumentará significativamente (dependendo da gravidade do desvio).
Se não houver dados históricos para um grupo de pares mostrando dados anômalos, um novo grupo será criado e você será o primeiro membro dele. A pontuação de risco do primeiro membro de um novo grupo terá uma pontuação muito maior inicialmente quando comparada aos demais. Se essa ação for realizada por outros membros, ela se tornará um criador de tendências em vez de um valor discrepante, e sua pontuação de risco se normalizará de acordo.
Existem dois tipos diferentes de grupos de pares: estático e dinâmico.
O método estático
Usando o método estático, os dados sobre os usuários são obtidos de bancos de dados como o Active Directory para criar um grupo de pares. Essencialmente, o agrupamento é baseado em atributos como o departamento de um usuário, designação, localização ou seu gerente de relatórios. Por exemplo, todos os funcionários que trabalham no departamento financeiro ou todos os funcionários subordinados ao mesmo gerente podem constituir um grupo de pares.
Você pode criar vários grupos de pares para um usuário dessa maneira. Isso é essencial porque, se um usuário fizer parte de apenas um grupo, a avaliação e a pontuação de risco podem não ser precisas. Cada usuário pode se enquadrar em mais de um grupo: por exemplo, um designer em uma equipe de marketing se enquadra no grupo “Marketing” como um todo e também em um grupo menor e específico chamado “Designers visuais”. Eles também podem ser agrupados com base na localização, digamos “Califórnia”. Portanto, neste caso, para calcular com precisão o risco do funcionário, você teria que analisar o contexto (padrão de comportamento) de todos os três grupos. Além disso, se alterações como um funcionário mudando de função ou equipe não forem atualizadas no Active Directory, a precisão da pontuação de risco diminuirá.
Para facilitar a avaliação de risco e aumentar a precisão da pontuação, a UEBA também deve ser capaz de realizar agrupamento dinâmico de pares.
O método dinâmico
Usando o método dinâmico, a UEBA cria grupos de pares com base em dados comportamentais coletados ao longo do tempo. Com o modo dinâmico de análise, é mais fácil comparar o comportamento de um usuário com o de seus pares. Ele faz isso verificando se o comportamento exibido por um usuário pela primeira vez é o comportamento esperado de seus pares ou se é uma aberração. Se for considerado anômalo, a pontuação de risco aumenta de acordo. Ao contrário do método estático, os grupos de pares dinâmicos são criados e analisados com base em padrões de comportamento semelhantes, em vez de agrupamento com base em categorias amplas, como localização.
No entanto, para cálculo de risco baseado em agrupamento dinâmico, deve-se ter cuidado ao considerar o tamanho do grupo de pares, bem como a frequência da atividade ou comportamento, o que pode ser observado a partir de dados históricos. Isso ocorre porque quanto menor o grupo de pares, mais alertas você pode esperar. Com um grupo maior, fica mais fácil entender o contexto; consequentemente, há menos alertas, portanto, os resultados são mais precisos. Da mesma forma, se uma ação realizada por um usuário for semelhante à realizada por seus pares, a pontuação de risco não será impactada negativamente e vice-versa.
Embora possa parecer que o método dinâmico de agrupamento de pares é melhor do que o método estático, uma solução SIEM integrada à UEBA capaz de criar grupos de pares com base em ambos os métodos é a opção mais eficaz para avaliação e pontuação de risco precisas.
Para saber mais como aumentar a eficiência da pontuação de risco em sua solução SIEM integrada à UEBA, baixe este e-book gratuito: Detecção de anomalias em segurança cibernética para leigos. Como alternativa, você pode agendar uma demonstração personalizada do ManageEngine Log360, uma solução SIEM unificada com recursos DLP e CASB, para sua conveniência e conversar com especialistas em produtos. Obrigado por ler, pessoal!
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Hiranmayi Krishnan.
