Gracias a la agrupación dinámica de pares, Log360 le ayuda a crear una política de seguridad más sólida.
La agrupación dinámica de pares es una función del análisis de comportamiento que refuerza las funciones de detección de anomalías y puntuación de riesgos de una solución SIEM. Es el proceso de agrupar a los usuarios de una red en función de los comportamientos que muestran y establecer una línea de base para el grupo. Esta línea de base se utiliza como referencia para detectar anomalías.
En palabras más sencillas, los grupos de pares dinámicos proporcionan contexto a los eventos de los usuarios en la red, ayudando a detectar amenazas con mayor precisión.
Log360 crea grupos de pares para cada uno de los informes que tiene dentro del módulo UEBA. Estos grupos se basan en el tiempo, el recuento y las anomalías. Cualquier evento de un usuario se evalúa en función de los clusters de los que forma parte y la puntuación de riesgo UEBA se modifica en consecuencia. Si la puntuación supera un umbral establecido, se emite una alerta de alto riesgo.
Un usuario, John, se conecta entre las 9am y las 9:15am, lo que no coincide con su hora habitual de conexión entre las 6am y las 6:15am.
La función UEBA de Log360 marca esta anomalía y genera una puntuación de alto riesgo.
Aquí es donde entra en escena la agrupación dinámica de pares.
Dado que el equipo se habría conectado regularmente más o menos a la misma hora, John formaría parte de un clúster con otros miembros del equipo. Y cuando este acontecimiento anómalo se considera en el contexto del tiempo de conexión de otros miembros de ese grupo de pares, es menos probable que constituya una amenaza. En casos como estos, la puntuación de riesgo se reduce basándose en algoritmos ML.
En otro caso, Maria inicia sesión entre las 9am y las 9:15am, lo que no coincide con su hora habitual de inicio de sesión, entre las 6am y las 6:15am.
La función UEBA de Log360 vuelve a marcarlo como anomalía y genera una puntuación de riesgo en consecuencia. Cuando este comportamiento no está en consonancia con el grupo de pares del usuario, la puntuación de riesgo de este evento se incrementa aún más para marcar una alerta.
Así es como funciona la agrupación dinámica de pares en Log360 y ayuda a detectar con precisión las anomalías de eventos de usuario que se producen en la red en tiempo real. Esto prepara el camino para un sistema de defensa contra amenazas sólido y efectivo.