Os analistas de segurança precisam enfrentar ameaças internas e externas legítimas, juntamente com uma série de falsos positivos. Uma solução de SIEM integrada com capacidades de análise de comportamento de usuários e entidades (UEBA) pode ajudá-los a diminuir os falsos positivos, identificando comportamentos suspeitos. Esses comportamentos suspeitos são identificados comparando o comportamento observado do usuário ou da entidade com aquele de uma "linha de base aprendida".
A solução passa as primeiras semanas estudando todas as atividades do usuário e sistema e desenvolvendo uma linha de base da atividade esperada para cada entidade. Após esse período inicial de treinamento, a solução começa a detectar comportamentos desviantes automaticamente, revisando anomalias de tempo, contagem e padrão consistentemente usando algoritmos de machine learning. Com uma solução de SIEM integrada à UEBA, os analistas de segurança podem detectar ameaças de maneira proativa, incluindo comprometimento de contas, exfiltração de dados, ameaças internas e anomalias de login.
A modelagem de anomalias é fundamental para esse esforço. A modelagem de anomalias é o processo de usar modelos de machine learning para criar bases de comportamento esperado. Os analistas podem personalizar o modelo de anomalia selecionado os parâmetros que a solução estudará para determinar a linha de base. Os parâmetros podem diferir de acordo com o tipo de anomalia definida.
Aqui estão os parâmetros para anomalias de tempo, contagem e padrão, que podem ser usados para modelar anomalias em uma solução de UEBA:
Vamos ver como esses parâmetros podem ser personalizados.
Em resumo, uma anomalia de hora é acionada quando um evento ocorre em um horário anormal. Conforme visto anteriormente, os analistas de segurança podem escolher os intervalos de tempo em que o comportamento do usuário é estudado.
Digamos que John geralmente efetua o login todos os dias entre 9:00 e 10:00. Um modelo de anomalia padrão, que rastreia o log de entrada de John em intervalos de 15 minutos, registrará cada log de entrada após as 9:15 como uma anomalia. Porém, e se um analista de segurança criar um modelo que rastreia o comportamento de logs de John em intervalos de uma hora?
Conforme ilustrado na Tabela 1, uma atividade que poderia ser interpretada como uma anomalia quando rastreada a cada 15 minutos pode não ser quando monitorada em uma base horária. A modelagem personalizada de anomalias permite que os analistas selecionem um parâmetro de intervalo de tempo que melhor atenda aos seus requisitos.
Modelo de anomalia padrão (rastreia o comportamento do usuário em intervalos de 15 minutos por padrão) | Modelo de anomalia personalizado (rastreia o comportamento do usuário em intervalos de 1 hora, conforme definido pelo analista) | ||||
Data | Logs de horário de John | Anomalia | Data | Logs de horário de John | Anomalia |
23 de janeiro | 9:10 | Não | 23 de janeiro | 9:15 | Não |
24 de janeiro | 9:13 | Não | 24 de janeiro | 9:17 | Não |
25 de janeiro | 9:30 | Sim | 25 de janeiro | 9:30 | Não |
26 de janeiro | 9:12 | Não | 26 de janeiro | 9:45 | Não |
Tabela 1: Modelo de anomalia padrão vs personalizado para rastreamento de anomalias de tempo
Conforme ilustrado na tabela, em um modelo de anomalia padrão, quando John efetua o login às 9:30, isso é sinalizado como uma anomalia. Com a modelagem de anomalia personalizada, o analista define o intervalo de tempo para uma hora. Dessa forma, quando John efetua o login às 9:30, isso não é identificado como uma anomalia.
As anomalias de tempo podem ser rastreadas para eventos discretos, pois há um elemento de sequenciamento temporal. Este pode não ser o caso de anomalias de contagem ou padrão. Os analistas de segurança podem criar vários modelos de anomalias com diferentes parâmetros de intervalo de tempo, e os relatórios para essas anomalias também podem ser gerados simultaneamente.
Quando há um número anormalmente alto de atividades ocorrendo em um período específico, isso é identificado como uma anomalia de contagem.
Para identificar anomalias de contagem, uma solução de SIEM agregará o número de atividades em um intervalo de tempo específico e o comparará com o número esperado de atividades no mesmo intervalo de tempo. A modelagem de anomalias permitirá que o analista selecione o parâmetro de intervalo de tempo. Por exemplo, um modelo de anomalia padrão pode estudar o número de vezes que um arquivo é acessado em cada intervalo de tempo de 30 minutos em um dia. Se a contagem esperada for de 100 vezes para um período específico de 30 minutos, mas a contagem real for de 200 vezes, um desvio do comportamento esperado será registrado. Ao projetar um modelo de anomalia personalizado, um analista pode saber que é normal o arquivo ser acessado 200 vezes em 30 minutos, então eles podem optar por rastrear o número de acessos por hora em vez de a cada 30 minutos.
Isso é ilustrado na Tabela 2 abaixo.
Modelo de anomalia padrão (rastreia leituras de arquivos a cada 30 minutos por padrão) | Modelo de anomalia personalizado (rastreia a leitura de arquivos a cada hora, conforme definido pelo analista) | ||||
Intervalo de tempo | Nº de acessos ao arquivo | Anomalia | Intervalo de tempo | Nº de acessos ao arquivo | Anomalia |
00:00 à 00:30 | 100 | Não | 00:00 à 01:00 | 250 | Não |
00:30 à 01:00 | 150 | Sim | 01:00 à 02:00 | 300 | Não |
01:00 à 01:30 | 200 | Sim | 02:00 à 03:00 | 400 | Não |
Tabela 2: Modelo de anomalia padrão vs personalizado para rastreamento de anomalias de contagem
Com esse novo modelo de anomalia, a solução de SIEM vai comparar o número de acessos ao arquivo observados em cada intervalo de 1 hora com a linha de base aprendida. Além disso, os 250 acessos a arquivos que ocorrem entre 00:00 e 01:00 podem ser considerados normais. Entretanto, no modelo padrão, os 150 acessos a arquivos que ocorrem entre 00:30 e 1:00 podem desencadear uma anomalia.
O analista pode selecionar o parâmetro de intervalo de tempo que melhor se adapta às suas necessidades de segurança cibernética para facilitar a criação de modelos de anomalias.
Como o nome sugere, as anomalias de padrão são identificadas quando uma sequência incomum de eventos ocorre. Embora eventos individuais possam não parecer anômalos, quando observados como uma sequência, podem indicar um comportamento suspeito. Por exemplo, um usuário altera uma regra de firewall em um horário incomum. A sequência que está sendo examinada pode ser Nome do host > ID da regra > Hora, onde a parte ID da regra > Hora da sequência pode ser registrada como uma anomalia.
Um SIEM integrado à UEBA identifica anomalias de padrões estudando o comportamento do usuário por algumas semanas e estabelecendo uma linha de base de padrões de diferentes maneiras. Um desses métodos usados para estabelecer linhas de base é a análise da cadeia de Markov. Em resumo, as cadeias de Markov são cadeias, ou sequências de eventos, nas quais a probabilidade de um evento ocorrer depende do status do evento anterior. Para obter insights mais profundos sobre como a UEBA estabelece o comportamento de linha de base e a análise da cadeia de Markov, você pode conferir nosso guia informativo.
Em modelos padrão, essas cadeias de padrões são criadas a partir dos valores padrão presentes nos dados ou relatórios fornecidos como entrada. Na modelagem de anomalias personalizada, o analista de segurança pode selecionar as variáveis que formam essa cadeia de padrões.
Por exemplo, vamos supor que, para um relatório de entrada específico, a cadeia de padrões default que está sendo examinada é Nome de usuário > Domínio > Nome do host > Hora.
A solução vai procurar anomalias na associação de variáveis adjacentes. Portanto, as anomalias serão examinadas nos pares Nome de usuário > Domínio, Domínio > Nome do host e Nome do host > Hora.
Algumas vezes, os padrões default podem não fornecer uma visão completa aos analistas. Eles podem exigir dados ou relatórios adicionais. É aqui que entra a modelagem personalizada. Na modelagem personalizada, o analista cria essas cadeias de padrões selecionado as variáveis e padrão nos quais elas são organizadas.
Portanto, neste exemplo, além de escolher os componentes 'Nome de usuário', 'Domínio', 'Nome do host' e 'Hora', o analista também pode alterar o padrão em que eles são organizados.
Ele poderia, alternativamente, organizá-los como:
Nome de usuário > Domínio > Hora > Nome do host
Ele também poderia adicionar até quatro variáveis adicionais (para um total de oito) a essa cadeia para criar um modelo de anomalia.
Criar modelos de anomalia personalizados, em vez de usar modelos pré-construídos, pode ajudar as equipes de segurança a combater ameaças e riscos que suas organizações estão mais suscetíveis a enfrentar.
O módulo de UEBA no Log360 da ManageEngine é oferecido com modelos de anomalia pré-construídos e personalizados. Para saber mais, inscreva-se para uma demonstração personalizada com nossos especialistas em produtos hoje mesmo!
Explore tudo o que o mundo da UEBA tem a oferecer explorando os nossos últimos blogs sobre o tema aqui.
Você receberá atualizações regulares sobre as últimas notícias sobre segurança cibernética.