Mappage d'identités d'utilisateurs pour une détection renforcée des anomalies

Dans toute entreprise, un utilisateur peut accéder à de nombreux appareils et applications, mais pas toujours avec le même nom d’utilisateur ou les mêmes informations d’identification. Les appareils et les applications utilisent des registres d’utilisateurs spécifiques à chaque plateforme et distincts les uns des autres. Par conséquent, les entreprises peuvent se retrouver à surveiller cinq identités d’utilisateur à partir de cinq appareils séparément, alors qu’elles appartiennent en réalité à un seul et même utilisateur.

Le tableau ci-dessous montre qu’un utilisateur, Michael Bay, utilise différentes identités d’utilisateur pour se connecter et accéder à divers appareils et applications.

Pour les entreprises, il s’agit d’un énorme problème administratif qui peut facilement se transformer en problème de sécurité. En effet, lors de la détection d’anomalies, votre solution de sécurité peut avoir du mal à attribuer des actions individuelles à travers des applications comme étant l’activité d’un utilisateur particulier.

La fonction de mappage d’identité d’utilisateur (UIM) dans Log360 UEBA relie tous ces registres d’utilisateurs distincts avec un registre de base comme Active Directory. Cela aidera Log360 UEBA à déterminer l’activité d’un seul utilisateur à travers plusieurs domaines et à corréler ces activités pour identifier les anomalies. L’évaluation ultérieure des risques de l’utilisateur devient plus précise car toutes les identités de l’utilisateur dans le réseau sont synchronisées ensemble.

Comment les identités des utilisateurs sont-elles mappées ?

Les utilisateurs sont mappés sur le réseau en utilisant leur compte AD comme base, ou compte source. Les administrateurs peuvent créer des règles de mappage en spécifiant les attributs source et les attributs cible du compte utilisateur qui doivent correspondre. L’attribut source est une valeur provenant des données AD de l’utilisateur (par exemple, SAMAccount_Name). L’attribut cible peut être n’importe quelle valeur de champ du compte cible (par exemple, le champ User Name du serveur SQL).

Figure 1 : Création d’un nouveau mappage pour lier les comptes d’utilisateurs

Log360 UEBA recherchera alors les comptes d’utilisateurs SQL qui répondent à ces critères et les mappera au compte AD de l’utilisateur. De même, un mappage peut être créé avec Windows comme compte cible et en spécifiant l’attribut cible qui sera le même que l’attribut source (nom de compte SAM du compte AD). Les administrateurs peuvent examiner ces correspondances identifiées par Log360 UEBA et les vérifier. Les comptes utilisateurs individuels (Windows et SQL) sont ainsi mappés avec AD, et toutes les anomalies associées à l’utilisateur à travers les sources peuvent être visualisées dans le tableau de bord.

Le mappage d’identité d’utilisateur en action

Michael n’aura qu’une seule représentation sur le tableau de bord du score de risque de l’utilisateur une fois que tous ses comptes – y compris ceux de Windows, SQL Server et d’autres plateformes – auront été mappés à son compte AD. Le tableau de bord recueille toutes les anomalies entre les plateformes et génère un score de risque approprié pour lui.

La figure 2 illustre le tableau de bord du score de risque de l’utilisateur ainsi que les anomalies liées à l’activité de Windows et du serveur SQL.

Figure 2 : Tableau de bord des risques pour l’utilisateur dans Log360 UEBA

Vous voulez en savoir plus sur les dernières tendances en matière de gestion IT ? Vous cherchez des solutions pour améliorer la sécurité de votre infrastructure ? Alors rendez-vous sur notre site web.

Nous sommes également présents sur les réseaux sociaux, où nous partageons régulièrement plusieurs conseils et actualités. Suivez-nous sur FacebookTwitterLinkedInInstagram, et YouTube pour ne rien manquer de nos dernières publications.

 

Source : User identity mapping for improved anomaly detection by Varun K