Security Vision UEBA

Основные статьи:

• UBA (User Behavior Analytics, Анализ поведения в сфере систем обеспечения безопасности)
• DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
• Fraud Detection System (фрод, система обнаружения мошенничества)
• Security Information and Event Management (SIEM)

2024

Обзор Security Vision UEBA

Продукт Security Vision UEBA автоматически создает профили нормального поведения для пользователей, устройств и систем, анализируя разнообразные данные, включая сетевой трафик, логи приложений и системные события. Система выявляет отклонения от установленных норм, используя передовые алгоритмы машинного обучения, и объединяет результаты работы нескольких моделей, повышая точность обнаружения и снижая количество ложных срабатываний. Подробнее здесь.

Security Vision UEBA с возможностью применения методов Anomaly Detection

4 апреля 2024 года компания Security Vision сообщила о выходе обновленной версии продукта Security Vision UEBA.

𝓲

Фото: Security Vision

По информации компании, продукт Security Vision UEBA автоматически выстраивает типовые модели поведения объектов инфраструктуры (пользователей, учетных записей, устройств, процессов и др.), анализируя сырые потоки данных (сетевой трафик, логи прокси-серверов, почтовых серверов, windows/linux серверов и рабочих станций и др.), выявляет отклонения и предоставляет гибкие инструменты по их анализу, расследованию и реагированию. Наиболее значимые обновления включают нижеследующее.

Anomaly Detection

Применение методов Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования. Российский рынок CRM-систем: оценки, перспективы, крупнейшие поставщики. Обзор TAdviser 9.7 т

ML модели

В обновленной версии Security Vision UEBA расширен набор используемых ML моделей. Применяются следующие модели:

• «с учителем» для выявления похожих паттернов реальных атак (предобученные на различных атаках и вредоносных активностях (DDOS, botnet, C&C и др.),
• модели «без учителя» для нахождения аномалий среди сетевого трафика и событий с хостов, нейросети (в т.ч. RNN),
• модели для обнаружения мимикрирующих процессов и др.

Обработка всех моделей выполняется на инфраструктуре Заказчика без необходимости отправки каких-либо данных «в облако». За счет оптимизаций архитектуры и самих моделей требования к инфраструктуре минимизированы и не требуют специализированного оборудования. Продукт позволяет проводить гибкую настройку всех параметров ML моделей через UI, а также добавлять собственные модели.

Минимизация false-positive сработок

Особый упор сделан на оркестрации работы ML моделей и минимизации false-positive (FP) сработок. Разработаны механизмы автоматического контроля работы и отключения моделей в случае большого количества сработок FP. Также Security Vision UEBA автоматически и регулярно переобучает модели на данных Заказчика для оптимизации адаптации к инфраструктуре, потокам данных и их изменениям. Переобучаются также и модели «с учителем», где используемые датасеты типовых атак и вредоносных активностей автоматически объединяются и «растягиваются» на данные по инфраструктуре Заказчика, полученные из обработанных событий. Реализован автоматический подбор параметров модели: Security Vision UEBA в процессе обучения сама подбирает гиперпараметры для достижения оптимального результата сработок и минимизации количества FP.

Статистические методы дают возможность автоматически накапливать статистику по параметрам, объемным, частотным и количественным показателям по используемым хостам, процессам, командным строкам, именованным пайпам и многим другим характеристикам отдельно по каждому объекту наблюдения, что также существенно снижает уровень FP сработок и позволяет пользователю через UI гибко настраивать веса, добавлять или корректировать имеющиеся правила.

Правила корреляции

Расширен базовый набор правил корреляции, входящих в состав коробочного решения. Экспертами Security Vision были разработаны специальные правила корреляции, позволяющие находить подозрительные действия в потоках сетевого трафика/потоков прокси серверов, а также выявлять подозрительные события на хостах. Данные алерты объединяются вместе со сработками движков статистики и ML, что в итоге позволяет собрать более полный анализ действий подозрительного объекта, учесть каждую сработку правила корреляции со своим уникальным весом (в зависимости от критичности), который будет суммирован с весом событий от других источников наблюдения и в случае превышения порогового значения может привести к созданию инцидента.

Также в Security Vision UEBA встроен полноценный редактор правил корреляции, используя который, можно настраивать правила любой глубины и сложности через UI продукта.

Отображение объектов и сработок

Переработано отображение всех объектов и сработок для предоставления более полного и удобного функционала анализа и расследования полученных инцидентов: графы связей объектов, автоматическое обогащение данными из внешних и внутренних сервисов, drill-down до каждого связного объекта, исходные события по объекту с указанием источника и всех атрибутов, динамика поступления событий и др. В Security Vision UEBA встроены действия по базовому реагированию на полученные инциденты (например, с NGFW, active-листами и т.п.) или для отправки инцидентов в SOAR и SIEM системы.

Используя API продукта, можно настраивать получение сработок по объектам, получать подозрительные события и алерты по каждому объекту (например, для обогащения этой информацией инцидентов в SOAR).

Расширение возможностей

Продукт Security Vision UEBA реализован на платформе Security Vision 5, что позволяет пользователям расширять его возможности, создавая как новые объекты наблюдения (включая их карточки, общие представления, процессы обработки и сценарии реагирования), корректировать или расширять процесс обработки выявленных сработок, создавать новые интеграции, корректировать и создавать дашборды и отчеты – все полностью через графические конструкторы, встроенные в UI продукта.

Совместимость с NGFW «Континент 4»

Многофункциональный межсетевой экран (NGFW) «Континент 4» от компании «Код Безопасности» и продукты Security Vision Threat Intelligence Platform (TIP), User and Entity Behavior Analysis (UEBA), Security Orchestration, Automation and Response (SOAR) и Next Generation SOAR (NG SOAR) прошли всестороннее тестирование, в результате которого была подтверждена их совместимость. Об этом компания Security Vision сообщила 21 марта 2024 года. Подробнее здесь.

2023: Security Vision UEBA на платформе Security Vision 5

28 апреля 2023 года компания Security Vision сообщила о выпуске обновленной версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5.

Security Vision UEBA на платформе Security Vision 5

По информации компании, Security Vision UEBA автоматически выстраивает типовые модели поведения (пользователей, учетных записей, устройств, процессов и др.) и находит отклонения, анализируя сырые потоки данных по сетевому трафику, прокси-серверов, почтовых серверов, Windows/Linux серверов и рабочих станций.

Security Vision Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.

Наиболее значимые возможности Security Vision UEBA:

Интеграция с источниками данных

Продукт Security Vision UEBA содержит настроенные коннекторы для получения, нормализации и анализа сырых данных от всех популярных SIEM систем (KUMA SIEM, MaxPatrol SIEM, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), возможность получения событий в универсальных форматах (CEF, LEEF и др.), коннекторы к NGFW и сетевым устройствам (Cisco, CheckPoint, PaloAlto, Juniper и др.), прокси серверам (Squid, Blue Coat), «озерам данных» (Kafka, Elasticsearch), а также получение логов напрямую с Windows/Linux устройств и рабочих станций.

Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми иными источниками данных по большому количеству протоколов, включая графический конструктор по нормализации получаемых данных.

Настраиваемые правила и аналитический движок

Пользователям доступно несколько десятков встроенных правил для статистического анализа различных параметров активностей пользователей, учетных записей, хостов, процессов, а также объемных показателей трафика, количества соединений и др. Функционал продукта позволяет гибко расширять и настраивать правила анализа, настраивать их активность, оценку и порог влияния на создание итогового инцидента.

Также в платформу встроен полноценный движок правил корреляции, используя который, можно настраивать правила любой глубины и сложности. Для примера в поставку продукта включены sigma-правила и типовые правила корреляции.

Инциденты и реагирование

Все выявленные отклонения автоматически объединяются относительно объекта сработки. При превышении заданных пороговых значений система генерирует инцидент, в котором отражена вся детальная информация об объекте инцидента, связанных объектах и всех выявленных аномальных событиях.

Для обработки инцидентов в продукте настроены автоматизированные действия: отправка в системы IRP/SOAR, отправка в SIEM, добавления в Active List’ы SIEM, добавление в листы блокировки на NGFV, блокировка в сервисе каталогов и др. Пользователь может настройками регулировать выполняемые действия: включать их выполнение автоматически или вручную, управлять их видимостью на карточке инцидента. Аналогичным образом можно управлять и оповещениями по инциденту.

Система автоматически создает отдельные объекты для всех связанных атрибутов инцидента (устройства, учетные записи и др.). По каждому объекту автоматически запускаются сбор и обогащения дополнительными данными из инфраструктуры заказчика или из внешних аналитических сервисов. Процесс сбора данных и обогащения регулируется настройками системы.

Для работы с выявленными инцидентами и связанными объектами в продукте реализованы встроенные рабочие процессы, которые управляют жизненным циклом инцидента, обогащениями, а также позволяют выполнять действия. Встроенный в платформу конструктор рабочих процессов позволяет пользователям кастомизировать необходимый процесс реагирования и настраивать взаимодействие с внешними системами.

В платформе доступны гибкие возможности по созданию и настройке дополнительных действий по реагированию, сбору и обогащению данными как полученного инцидента, так и всех связанных с ним объектов инфраструктуры заказчика или внешних систем.

Визуализация и отчетность

В карточке инцидента все выявленные события по объекту отображены в виде Timeline с соблюдением хронологии их возникновения. Большое количестве ссылок на связанные объекты (устройства, учетные записи, процессы и др.) позволяет переходить на их карточки для получения дополнительных данных и анализа.

Дополнительно все связанные объекты и атрибуты отображаются в виде графа, который позволяет выстроить связи между объектами инцидента и быстро перейти на детальную информацию по ним. Пользователь может добавлять дополнительные действия на графе для реагирования, обогащения данными или построения дополнительных связей.

Общие представления и дашборды позволяют посмотреть сводную информацию по всем выявленным объектам, в соответствии с рассчитанным рейтингом. Drill-down позволяет просмотреть детализацию по каждой группе анализа.

По каждому объекту в системе реализована возможность выгрузки отчетов, содержащих всю детальную информацию о выявленных сработках и объектах нарушений. Сводные отчеты за период могут быть выгружены вручную или получены по расписанию по различным каналам: по электронной почте, Telegram и др.

Конструктор отчетности и дашбордов, встроенный в платформу, позволяет пользователям самостоятельно настраивать требуемую отчетность и визуализацию данных в режиме no-code без использования каких-либо внешних продуктов и тулов.

Наиболее значимые возможности Security Vision Anomaly Detection:

• В дополнение ко всем указанным выше возможностям пользователь получает большое количество преднастроенных и обученных моделей Machine Learning, которые расширяют возможности по детекту аномальных и подозрительных действий в корпоративной инфраструктуре, не выявляемых правилами корреляции и функционалом стандартных СЗИ.
• В продукте применяются различные методики ML, обученные модели на различных датасетах, связанных с активностью ботнетов, ВПО, DDOS атак и др., модели «без учителя», автоматически апроксимирующих активности и выявляющих отклонения по различным комбинациям параметров, нейросети, учитывающих последовательность событий и их взаимосвязи и др. Полученные в результате сработки автоматически обрабатываются, группируются в наборы событий, применяется дедупликация данных.
• Применяемые в продукте модели автоматически регулярно переобучаются на данных заказчика, адаптируясь под настройки инфраструктуры, сетевую, техническую и пользовательскую активность. Используется как ручной, так и автоматический подбор параметров моделей для повышения качества выявляемых сработок.
• В продукте встроены возможности применения «белых списков» для настройки исключений. Также модели автоматически учитывают сработки false-positive при последующем переобучении моделей.