Hem

Avvikelsedetektering med jämförelsegruppering

Med dynamisk jämförelsegruppering,
hjälper Log360 dig att skapa en starkare säkerhetspolicy

Ladda ned
 
 
 
 
 
 
Upptäckte

Vad är dynamisk jämförelsegruppering?

Dynamisk jämförelsegruppering är en funktion inom beteendeanalys som stärker en SIEM-lösnings förmåga att upptäcka avvikelser och tilldela riskpoäng. Det är processen att gruppera användare i ett nätverk baserat på de beteenden de uppvisar och fastställa en baslinje för gruppen. Denna baslinje används sedan som referens för att upptäcka avvikelser.

Enklare uttryckt ger dynamiska jämförelsegrupper kontext till användarhändelser i nätverket, vilket hjälper till att upptäcka hot med högre träffsäkerhet.

Skapa dynamiska jämförelsegrupper i Log360

Log360 skapar jämförelsegrupper för varje rapport inom UEBA-modulen. Dessa grupper är tidsbaserade, antalsbaserade och avvikelsebaserade. Alla händelser som en användare gör utvärderas utifrån de kluster som användaren är en del av och UEBA:s riskpoäng ändras i enlighet med detta. Om poängen stiger över ett visst tröskelvärde utfärdas en högriskvarning.

Fördelar med att inkludera dynamisk jämförelsegruppering i din UEBA

  • Förbättrad träffsäkerhet vid upptäckt av avvikelser
  • Minskat antal falska positiva resultat
  • Regelbundna uppdateringar av kluster för att ta hänsyn till gradvisa förändringar i användarnas beteende
Dynamic-peer-grouping-img1.png

Låt oss se dynamisk jämförelsegruppering i praktiken.

En användare, John, loggar in mellan kl. 09.00 och 09.15, vilket inte stämmer överens med hans vanliga inloggningstid mellan kl. 06.00 och 06.15.

Detta flaggas som en avvikelse av Log360:s UEBA-funktion och en hög riskpoäng genereras.

Dynamic-peer-grouping-img2.png

Det är här som dynamisk jämförelsegruppering kommer in i bilden.

Eftersom teamet regelbundet loggar in vid ungefär samma tidpunkt, skulle John vara en del av ett kluster tillsammans med andra teammedlemmar. Och när denna avvikande händelse ses i kontexten av inloggningstiderna för andra medlemmar i samma jämförelsegrupp, är det mindre sannolikt att den utgör ett hot. I sådana fall sänks riskpoängen baserat på ML-algoritmer.

Dynamic-peer-grouping-img3.png

I ett annat fall loggar Maria in mellan kl. 09.00 och 09.15, vilket inte stämmer överens med hennes vanliga inloggningstid mellan kl. 06.00 och 06.15.

Även detta flaggas som en avvikelse av Log360:s UEBA-funktion och en riskpoäng genereras i enlighet med detta. När detta beteende inte överensstämmer med användarens jämförelsegrupp höjs riskpoängen för händelsen ytterligare för att flagga en varning.

Dynamic-peer-grouping-img4.png

Det är så dynamisk jämförelsegruppering i Log360 fungerar och hjälper till att på ett träffsäkert sätt upptäcka avvikelser i användarhändelser i nätverket i realtid. Detta banar väg för ett starkt och framgångsrikt försvarssystem mot hot.