Analyse comportementale des utilisateurs et des entités (UEBA)
Contenu de la page
- Aperçu de l’UEBA
- Rôle d’une solution UEBA
Les cyberattaques évoluent constamment, les pirates modernes pouvant contourner aisément les systèmes de sécurité classiques. Les attaquants trouvent sans cesse de nouveaux moyens de pirater des pare-feux, d’envoyer des programmes malveillants, voire de soudoyer des employés pour mener des attaques internes. Les systèmes de sécurité classiques deviennent vite obsolètes et vulnérables aux nouveaux types d’attaque.
Si l’on considère de notoires attaques passées, on constate que chacune d'elle s’avère différente. Il existe toutefois des stratégies et tactiques de défense souvent utilisées à cause de leur efficacité avérée. Un bon moyen de rester protégé consiste à adopter des techniques d’apprentissage automatique pour identifier chaque type d’anomalie de sécurité dans l’organisation.
Aperçu de l’UEBA
Une solution d’analyse comportementale des utilisateurs et des entités (UEBA) établit un comportement normal des utilisateurs et des machines d’une entreprise et identifie les anomalies. Elle vise à traiter de grands volumes de données des pare-feux, routeurs, postes de travail, bases de données, serveurs de fichiers et autres appareils pour créer un modèle comportemental de chaque utilisateur et entité.
Elle désigne une activité s’écartant de ce modèle comme anormale, puis évalue les risques. Elle corrèle directement l’évaluation à un score de risque qui détermine la réponse à la menace. Plus le comportement est anormal et plus le score de risque croît. De plus, l’administrateur peut examiner le problème dans un tableau de bord et prendre les mesures nécessaires.
À propos de cet explicatif: ce contenu fait partie de notre série détaillée sur le concept SIEM et les outils SIEM. Continuez à découvrir l’avis des experts et les bonnes pratiques !
Rôle d’une solution UEBA
Elle vise à détecter notamment les menaces internes, les comptes compromis, l’abus de privilèges, les violations de stratégie et les attaques par force brute. Un événement légèrement anormal ne génère pas en soi une alerte de sécurité. Le système exige plusieurs signes de comportement anormal pour créer une alerte. Il peut corréler plusieurs actions distinctes pouvant concerner un seul incident de sécurité, pas perceptible pour le profane.
Une solution UEBA peut aussi intégrer les données qu’elle génère aux systèmes d’analyse de sécurité actuels. Exploitant des algorithmes d’apprentissage automatique et statistiques, une solution UEBA gagne en efficacité lorsque le volume de données croît.