Os analistas de segurança precisam enfrentar ameaças internas e externas legítimas, juntamente com uma série de falsos positivos. Uma solução de SIEM integrada com capacidades de análise de comportamento de usuários e entidades (UEBA) pode ajudá-los a diminuir os falsos positivos, identificando comportamentos suspeitos. Esses comportamentos suspeitos são identificados comparando o comportamento observado do usuário ou da entidade com aquele de uma "linha de base aprendida".

A solução passa as primeiras semanas estudando todas as atividades do usuário e sistema e desenvolvendo uma linha de base da atividade esperada para cada entidade. Após esse período inicial de treinamento, a solução começa a detectar comportamentos desviantes automaticamente, revisando anomalias de tempo, contagem e padrão consistentemente usando algoritmos de machine learning. Com uma solução de SIEM integrada à UEBA, os analistas de segurança podem detectar ameaças de maneira proativa, incluindo comprometimento de contas, exfiltração de dados, ameaças internas e anomalias de login.

A modelagem de anomalias é fundamental para esse esforço. A modelagem de anomalias é o processo de usar modelos de machine learning para criar bases de comportamento esperado. Os analistas podem personalizar o modelo de anomalia selecionado os parâmetros que a solução estudará para determinar a linha de base. Os parâmetros podem diferir de acordo com o tipo de anomalia definida.

Aqui estão os parâmetros para anomalias de tempo, contagem e padrão, que podem ser usados para modelar anomalias em uma solução de UEBA:

  • Anomalias de tempo: Intervalos de tempo
  • Anomalias de contagem: Intervalos de tempo
  • Anomalias de padrão: Sequência esperada de atividades e variáveis que constituem essas sequências

Vamos ver como esses parâmetros podem ser personalizados.

Modelagem de anomalias para anomalias de tempo

Em resumo, uma anomalia de hora é acionada quando um evento ocorre em um horário anormal. Conforme visto anteriormente, os analistas de segurança podem escolher os intervalos de tempo em que o comportamento do usuário é estudado.

Digamos que John geralmente efetua o login todos os dias entre 9:00 e 10:00. Um modelo de anomalia padrão, que rastreia o log de entrada de John em intervalos de 15 minutos, registrará cada log de entrada após as 9:15 como uma anomalia. Porém, e se um analista de segurança criar um modelo que rastreia o comportamento de logs de John em intervalos de uma hora?

Conforme ilustrado na Tabela 1, uma atividade que poderia ser interpretada como uma anomalia quando rastreada a cada 15 minutos pode não ser quando monitorada em uma base horária. A modelagem personalizada de anomalias permite que os analistas selecionem um parâmetro de intervalo de tempo que melhor atenda aos seus requisitos.

Modelo de anomalia padrão
(rastreia o comportamento do usuário em intervalos de 15 minutos por padrão)
Modelo de anomalia personalizado
(rastreia o comportamento do usuário em intervalos de 1 hora, conforme definido pelo analista)
DataLogs de horário de JohnAnomaliaDataLogs de horário de JohnAnomalia
23 de janeiro9:10Não23 de janeiro9:15Não
24 de janeiro9:13Não24 de janeiro9:17Não
25 de janeiro9:30Sim25 de janeiro9:30Não
26 de janeiro9:12Não26 de janeiro9:45Não

Tabela 1: Modelo de anomalia padrão vs personalizado para rastreamento de anomalias de tempo

Conforme ilustrado na tabela, em um modelo de anomalia padrão, quando John efetua o login às 9:30, isso é sinalizado como uma anomalia. Com a modelagem de anomalia personalizada, o analista define o intervalo de tempo para uma hora. Dessa forma, quando John efetua o login às 9:30, isso não é identificado como uma anomalia.

As anomalias de tempo podem ser rastreadas para eventos discretos, pois há um elemento de sequenciamento temporal. Este pode não ser o caso de anomalias de contagem ou padrão. Os analistas de segurança podem criar vários modelos de anomalias com diferentes parâmetros de intervalo de tempo, e os relatórios para essas anomalias também podem ser gerados simultaneamente.

Modelagem de anomalias para anomalias de contagem

Quando há um número anormalmente alto de atividades ocorrendo em um período específico, isso é identificado como uma anomalia de contagem.

Para identificar anomalias de contagem, uma solução de SIEM agregará o número de atividades em um intervalo de tempo específico e o comparará com o número esperado de atividades no mesmo intervalo de tempo. A modelagem de anomalias permitirá que o analista selecione o parâmetro de intervalo de tempo. Por exemplo, um modelo de anomalia padrão pode estudar o número de vezes que um arquivo é acessado em cada intervalo de tempo de 30 minutos em um dia. Se a contagem esperada for de 100 vezes para um período específico de 30 minutos, mas a contagem real for de 200 vezes, um desvio do comportamento esperado será registrado. Ao projetar um modelo de anomalia personalizado, um analista pode saber que é normal o arquivo ser acessado 200 vezes em 30 minutos, então eles podem optar por rastrear o número de acessos por hora em vez de a cada 30 minutos.

Isso é ilustrado na Tabela 2 abaixo.

Modelo de anomalia padrão
(rastreia leituras de arquivos a cada 30 minutos por padrão)
Modelo de anomalia personalizado
(rastreia a leitura de arquivos a cada hora, conforme definido pelo analista)
Intervalo de tempoNº de acessos ao arquivoAnomaliaIntervalo de tempoNº de acessos ao arquivoAnomalia
00:00 à 00:30100Não00:00 à 01:00250Não
00:30 à 01:00150Sim01:00 à 02:00300Não
01:00 à 01:30200Sim02:00 à 03:00400Não

Tabela 2: Modelo de anomalia padrão vs personalizado para rastreamento de anomalias de contagem

Com esse novo modelo de anomalia, a solução de SIEM vai comparar o número de acessos ao arquivo observados em cada intervalo de 1 hora com a linha de base aprendida. Além disso, os 250 acessos a arquivos que ocorrem entre 00:00 e 01:00 podem ser considerados normais. Entretanto, no modelo padrão, os 150 acessos a arquivos que ocorrem entre 00:30 e 1:00 podem desencadear uma anomalia.

O analista pode selecionar o parâmetro de intervalo de tempo que melhor se adapta às suas necessidades de segurança cibernética para facilitar a criação de modelos de anomalias.

Modelagem de anomalias para anomalias de padrão

Como o nome sugere, as anomalias de padrão são identificadas quando uma sequência incomum de eventos ocorre. Embora eventos individuais possam não parecer anômalos, quando observados como uma sequência, podem indicar um comportamento suspeito. Por exemplo, um usuário altera uma regra de firewall em um horário incomum. A sequência que está sendo examinada pode ser Nome do host > ID da regra > Hora, onde a parte ID da regra > Hora da sequência pode ser registrada como uma anomalia.

Um SIEM integrado à UEBA identifica anomalias de padrões estudando o comportamento do usuário por algumas semanas e estabelecendo uma linha de base de padrões de diferentes maneiras. Um desses métodos usados para estabelecer linhas de base é a análise da cadeia de Markov. Em resumo, as cadeias de Markov são cadeias, ou sequências de eventos, nas quais a probabilidade de um evento ocorrer depende do status do evento anterior. Para obter insights mais profundos sobre como a UEBA estabelece o comportamento de linha de base e a análise da cadeia de Markov, você pode conferir nosso guia informativo.

Em modelos padrão, essas cadeias de padrões são criadas a partir dos valores padrão presentes nos dados ou relatórios fornecidos como entrada. Na modelagem de anomalias personalizada, o analista de segurança pode selecionar as variáveis que formam essa cadeia de padrões.

Por exemplo, vamos supor que, para um relatório de entrada específico, a cadeia de padrões default que está sendo examinada é Nome de usuário > Domínio > Nome do host > Hora.

A solução vai procurar anomalias na associação de variáveis adjacentes. Portanto, as anomalias serão examinadas nos pares Nome de usuário > Domínio, Domínio > Nome do host e Nome do host > Hora.

Algumas vezes, os padrões default podem não fornecer uma visão completa aos analistas. Eles podem exigir dados ou relatórios adicionais. É aqui que entra a modelagem personalizada. Na modelagem personalizada, o analista cria essas cadeias de padrões selecionado as variáveis e padrão nos quais elas são organizadas.

Portanto, neste exemplo, além de escolher os componentes 'Nome de usuário', 'Domínio', 'Nome do host' e 'Hora', o analista também pode alterar o padrão em que eles são organizados.

Ele poderia, alternativamente, organizá-los como:
Nome de usuário > Domínio > Hora > Nome do host

Ele também poderia adicionar até quatro variáveis adicionais (para um total de oito) a essa cadeia para criar um modelo de anomalia.

Criar modelos de anomalia personalizados, em vez de usar modelos pré-construídos, pode ajudar as equipes de segurança a combater ameaças e riscos que suas organizações estão mais suscetíveis a enfrentar.

O módulo de UEBA no Log360 da ManageEngine é oferecido com modelos de anomalia pré-construídos e personalizados. Para saber mais, inscreva-se para uma demonstração personalizada com nossos especialistas em produtos hoje mesmo!

Explore tudo o que o mundo da UEBA tem a oferecer explorando os nossos últimos blogs sobre o tema aqui.

Receba os conteúdos mais recentes entregues
diretamente na sua caixa de entrada!

Obrigado por subscrever.

Você receberá atualizações regulares sobre as últimas notícias sobre segurança cibernética.

  • Insira um e-mail comercial
  •  
  •  
    Ao clicar em ‘Mantenha-me Atualizado’, você concorda com o processamento de dados pessoais de acordo com a Política de Privacidade.

OPINIÕES DE ESPECIALISTAS