É fundamental que um analista de segurança esteja ciente de todas as atividades que acontecem na rede de sua organização. É por isso que uma solução SIEM geralmente é a melhor amiga de um analista. Se não for um SIEM, de que outra forma eles podem monitorar eventos de rede em tempo real e ser alertados sobre possíveis ameaças? No entanto, nem todos os SIEMs são criados iguais.Os recursos e a configuração da solução SIEM decidirão se os analistas serão inundados com um número esmagador de alertas. Enquanto um SIEM deve ser capaz de maximizar o número de verdadeiros positivos, ele também deve minimizar o número de falsos positivos.
Uma solução SIEM com recursos de UEBA pode ajudar muito nisso, especialmente se vier com a funcionalidade de agrupamento de pares. Vamos revisar rapidamente o que é o agrupamento de pares antes de nos aprofundarmos em como ele funciona.
Análise de grupo de pares
A análise de grupo de pares é uma técnica alimentada por algoritmos de aprendizado de máquina, em que usuários e hosts que compartilham características semelhantes são categorizados como um grupo. Isso nos ajuda a entender o contexto por trás do comportamento de um usuário e o grau de risco representado por ele. Ao comparar o comportamento de um usuário com seus pares e entender o contexto, você obtém insights melhores do que quando o vê como um evento isolado. Assim, essencialmente, você pode aumentar a precisão da pontuação de risco dos usuários devido à visão holística fornecida pelo agrupamento de pares.
O agrupamento de pares pode ser estático ou dinâmico. Enquanto o agrupamento de pares estático funciona com base em atributos comuns (como localização, designação e gerente de relatórios) compartilhados pelos usuários, o agrupamento de pares dinâmico funciona com base na semelhança comportamental entre os usuários. Os algoritmos de aprendizado de máquina são empregados para agrupamento dinâmico de pares, pois o padrão comportamental dos usuários é estudado ao longo do tempo para determinar de qual grupo de pares um usuário deve fazer parte. Isso levanta várias questões: Como exatamente o agrupamento de pares é realizado? Como o algoritmo determina de qual grupo um usuário deve fazer parte? Como isso afeta a pontuação de risco?
Como é feito o agrupamento de pares?
A forma como o agrupamento de pares é executado depende do algoritmo empregado em sua solução SIEM. Diferentes fornecedores de SIEM têm algoritmos diferentes, mas uma maneira eficaz de agrupar usuários em grupos de pares é usar um algoritmo de cluster como o ConStream. Os algoritmos de agrupamento funcionam com base no princípio de agrupar usuários em grupos com base em um índice de similaridade. O algoritmo de aprendizado de máquina aprende o padrão de comportamento dos usuários ao longo do tempo e identifica quais usuários têm um padrão de comportamento semelhante para poder atribuir a eles uma pontuação de similaridade (SS). Se um usuário pertence a um cluster ou não, será decidido com base no fato de seu SS ser maior ou menor que o valor limite predefinido. Para entender melhor, vamos começar do zero.
Para realizar a análise de grupo de pares, seu mecanismo de detecção de anomalias examinará primeiro as análises de segurança geradas pela ingestão dos logs de seus dispositivos de rede. Cada conjunto de análises geradas por sua solução SIEM é único e será associado a um modelo diferente. Por exemplo, análises baseadas em tempos de logon do usuário constituirão um modelo e análises baseadas em consultas SQL constituirão outro modelo. Um modelo é como um armazém que armazena os clusters associados a um determinado tipo de atividade. O número de clusters em um modelo será diferente dependendo do algoritmo usado.
Considere um modelo, M1, associado às atividades de logon dos usuários. Suponha que M1 possa hospedar 1.000 clusters, denominados C1, C2,…, C1000. Embora os clusters como C1 e C2 se enquadrem na ampla categoria de “logons de usuário”, eles ainda são diferentes em termos dos eventos que consideram para análise. Por exemplo, C1 agrupará eventos de usuários que exibem certos tipos de comportamento de logon e C2 agrupará eventos de usuários que exibem outro conjunto de comportamento de logon, que é marcadamente diferente do comportamento geral dos usuários em C1. Você pode classificar ainda mais os eventos do usuário em clusters com base em outros comportamentos de logon (C3, C4 e assim por diante). Essencialmente, M1 pode ter no máximo 1.000 clusters e cada cluster pode ter um número “n” de eventos adicionados a ele.
Como o algoritmo determina de qual grupo um usuário deve fazer parte?
Com tantos clusters disponíveis, determinar de qual cluster um evento deve fazer parte depende da pontuação de similaridade. Sempre que um evento de logon for registrado, o SS será calculado entre o evento e os clusters já disponíveis, e esse SS será comparado ao valor limite. O valor limite é o valor definitivo para determinar de qual cluster um evento de usuário deve fazer parte. Por exemplo, digamos que para um evento, E1, ser adicionado ao cluster C1, seu SS deve ser maior ou igual ao valor limite, digamos 0,6.Se não for, então E1 se tornará parte de um novo cluster chamado C2.A figura abaixo dá uma ideia de como os algoritmos de ML calculam SS e adicionam eventos a clusters.
Figura 1: Algoritmo de aprendizado de máquina calculando SS em segundo plano para identificar de qual cluster um evento deve fazer parte.
Como o agrupamento de pares afeta a pontuação de risco?
Uma vez que um usuário se torna parte de um grupo ou cluster, seu comportamento será comparado com o de seus pares, para identificar se sua atividade foi realmente anômala ou se é a norma para os pares desse grupo. Considere uma organização chamada Anthem, onde eles têm atendimento biométrico local para seus funcionários. Você precisa escanear sua impressão digital toda vez que entrar ou sair da organização, e é assim que suas horas de trabalho são registradas. No entanto, para acomodar os usuários remotos, eles têm um portal separado onde você pode usar suas credenciais para marcar sua presença. Um associado de marketing, Mark, que geralmente trabalha no escritório todos os dias, começou a fazer logon remotamente a cada dois dias e acessar o banco de dados de marketing. No curso geral dos eventos, sua ação seria considerada arriscada e sua pontuação de risco aumentaria. No entanto, se essa ação for comparada com a de seus pares, que também seguem o modelo de trabalho híbrido, o nível de confiança calculado será reajustado e sua pontuação de risco diminuirá imediatamente e se normalizará com o tempo. O nível de confiança é um valor calculado pelo algoritmo de aprendizado de máquina para dar uma ideia de quão arriscado é um evento.
Com o agrupamento de pares, sua avaliação de risco e precisão de pontuação de risco aumentam, e muitos alertas falsos podem ser reduzidos. No entanto, deve-se observar que, embora o agrupamento de pares tenha um impacto positivo na precisão da pontuação de risco, ele não é o único fator decisivo quando se trata da pontuação geral de risco de um usuário. Isso dependerá de vários fatores, como o peso atribuído ao tipo de ameaça, fator de decaimento de tempo e sazonalidade.
Para entender como o agrupamento de pares funciona em uma solução SIEM unificada com recursos integrados de DLP e CASB, como ManageEngine Log360, inscreva-se para uma demonstração personalizada. Obrigado por ler, pessoal!
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Hiranmayi Krishnan.