Erkennung von Anomalien mithilfe dynamischer Vergleichsgruppen

Mithilfe dynamischer Vergleichsgruppen unterstützt,
Log360 Sie bei der Entwicklung einer stärkeren Sicherheitsrichtlinie

Herunterladen
 
 
 
 
 
 
Detected

Was ist eine dynamische Vergleichsgruppe?

Die dynamische Vergleichsgruppe ist eine Funktion innerhalb der Verhaltensanalyse, die die Anomalieerkennung und die Risikobewertung einer SIEM-Lösung unterstützt. Dabei werden Benutzer in einem Netzwerk auf der Grundlage ihres Verhaltens gruppiert und eine Baseline für die Gruppe erstellt. Diese Baseline wird dann als Referenz für die Erkennung von Anomalien verwendet.

Einfacher ausgedrückt bieten dynamische Vergleichsgruppen einen Kontext für Benutzerereignisse im Netzwerk und helfen dabei, Bedrohungen mit höherer Genauigkeit zu erkennen.

Erstellen von dynamischen Vergleichsgruppen in Log360

Log360 erstellt Vergleichsgruppen für jeden der Berichte, über die es im UEBA-Modul verfügt. Diese Gruppen sind zeit-, anzahl- und anomaliebasiert. Jedes Ereignis eines Benutzers wird auf der Grundlage der Cluster, denen der Benutzer angehört, bewertet und der UEBA-Risikowert wird entsprechend geändert. Wenn der Wert einen festgelegten Schwellenwert überschreitet, wird eine Warnung mit hohem Risiko ausgegeben.

Vorteile der Integration dynamischer Vergleichsgruppen in Ihre UEBA

  • Verbesserte Genauigkeit der Anomalieerkennung
  • Reduzierung der Anzahl von Fehlalarmen
  • Regelmäßige Aktualisierung von Clustern, um sukzessive Änderungen im Nutzerverhalten zu berücksichtigen
Dynamic-peer-grouping-img1.png

Sehen wir uns die dynamische Vergleichsgruppen in Aktion an.

Ein Benutzer, John, meldet sich zwischen 9:00 und 9:15 Uhr an, was nicht seiner üblichen Anmeldezeit zwischen 6:00 und 6:15 Uhr entspricht.

Dies wird von der UEBA-Funktion von Log360 als Anomalie gekennzeichnet und es wird ein hoher Risikowert generiert.

Dynamic-peer-grouping-img2.png

Hier kommt die dynamische Vergleichsgruppe ins Spiel.

Da sich das Team sonst regelmäßig etwa zur gleichen Zeit anmeldet, würde John mit anderen Teammitgliedern zu einem Cluster gehören. Und wenn dieses ungewöhnliche Ereignis im Kontext der Anmeldezeit anderer Mitglieder dieser Vergleichsgruppe betrachtet wird, ist es weniger wahrscheinlich, dass es sich um eine Bedrohung handelt. In solchen Fällen wird die Risikobewertung auf der Grundlage von ML-Algorithmen reduziert.

Dynamic-peer-grouping-img3.png

In einem anderen Fall meldet sich Maria zwischen 9:00 und 9:15 Uhr an, was nicht ihrer üblichen Anmeldezeit zwischen 6:00 und 6:15 Uhr entspricht.

Dies wird wiederum von der UEBA-Funktion von Log360 als Anomalie gemeldet und es wird eine entsprechende Risikobewertung erstellt. Wenn dieses Verhalten nicht mit der Peer-Gruppe des Benutzers übereinstimmt, wird die Risikobewertung dieses Ereignisses weiter erhöht, um eine Warnung auszugeben.

Dynamic-peer-grouping-img4.png

So funktioniert und hilft die dynamische Peer-Gruppierung in Log360, Anomalien bei Benutzerereignissen, die im Netzwerk auftreten, in Echtzeit genau zu erkennen. Dies ebnet den Weg für ein starkes und erfolgreiches System zur Abwehr von Bedrohungen.

Zuhause »