Med dynamisk peergruppering hjælper
Log360 dig med at opbygge en stærkere sikkerhedspolitik
Dynamisk peergruppering er en funktion inden for adfærdsanalyse, der styrker mulighederne for at detektere anomalier og risikoscoring i en SIEM-løsning. Det er processen med at gruppere brugere i et netværk efter adfærd og etablere en baseline for gruppen. Denne baseline bruges derefter som reference til at detektere afvigelser.
Kort sagt giver dynamiske peergrupper kontekst til brugerhændelser i netværket, hvilket hjælper med at detektere trusler med større nøjagtighed.
Log360 opretter peergrupper for hver af de rapporter, den har i UEBA-modulet. Disse grupper er baseret på tidspunkter, antal og anomalier. Enhver hændelse udført af en bruger evalueres ud fra de klynger, brugeren er en del af, og UEBA-risikoscoren ændres derefter. Hvis scoren overskrider en fastsat tærskel, udsendes en advarsel om høj risiko.
En bruger, John, logger ind mellem kl. 9 og 9.15, hvilket ikke stemmer overens med hans sædvanlige logintidspunkt mellem kl. 6 og 6.15.
Dette markeres som en anomali af Log360's UEBA-funktion, og der genereres en højrisikoscore.
Det er her, dynamisk peergruppering kommer ind i billedet.
Da teamet jævnligt ville have logget ind på samme tid, ville John være en del af en klynge med andre teammedlemmer. Og når denne unormale hændelse ses i sammenhæng med logintidspunktet for andre medlemmer af den pågældende gruppe, er det mindre sandsynligt, at den er en trussel. I tilfælde som disse reduceres risikoscoren baseret på maskinlæringsalgoritmer.
I et andet tilfælde logger Maria ind mellem kl. 9 og 9.15, hvilket ikke stemmer overens med hendes sædvanlige logintidspunkt mellem kl. 6 og 6.15.
Dette markeres igen som en anomali af Log360's UEBA-funktion, og der genereres en risikoscore. Når denne adfærd ikke er i overensstemmelse med brugerens peergruppe, øges risikoscoren for denne hændelse yderligere for at markere en advarsel.
Det er sådan, dynamisk peergruppering i Log360 virker og hjælper med præcist at detektere uregelmæssigheder i brugerhændelser i netværket i realtid. Dette baner vejen for et stærkt og velfungerende trusselsforsvar.