È importante capire e stabilire le identità sulla propria rete e le azioni disperate da parte degli utenti e delle entità possono risultare incomprensibili. Tuttavia, quando queste azioni vengono associate l’una all’altra possono costruire una storia unica e fornire importante contesto di sicurezza.
Log360 UEBA mappa i diversi account utente e le relative identità per costruire un riferimento generale del comportamento di un utente.
Log360 UEBA è in grado di identificare il comportamento anomalo dell’utente in base all’ora, al numero e ai modelli anomali.
Ora irregolare: considera un dipendente che generalmente esegue l'accesso tra le 9 e le 10 e che all’improvviso accede alle 5. Log360 identifica velocemente questo evento e lo segnala come comportamento deviante.
Modelli anomali: Log360 identifica i normali modelli di comportamento degli utenti, aggiornando le modifiche che si verificano nel tempo, e notifica gli amministratori quando gli utenti si scostano da tali modelli. Ad esempio, se un utente generalmente usa l’host A e B, ma improvvisamente utilizza l’host C, questo comportamento sarà identificato come un’anomalia del modello.
Numero irregolare: è possibile specificare un valore limite di determinati eventi, quali modifiche password e creazione utente. Ad esempio, se i registri suggeriscono che un utente ha eseguito più di 20 query DML su un server SQL mentre il punto di riferimento normalmente è di tre, Log360 attiverà un’anomalia del numero.
Identifica il comportamento anomalo degli host basati su ora, modelli e numero. Log360 UEBA è in grado di individuare il comportamento anomalo delle entità su: