Sürekli gelişen teknoloji ortamı bir ilerleme işareti olup işletmeleri güçlendirmişken, aynı zamanda kuruluşların siber güvenlik duruşlarına riskler yükleyen çok sayıda güvenlik açığı ve gelişmiş ağ güvenlik tehdidini de beraberinde getirmiştir.

Konu bu türden sofistike siber saldırıları algılamaya geldiğinde, geleneksel güvenlik tedbirleri ve yanıtları yeterli olmayabilir. İşte bu nedenle gelişmiş tehdit algılama ve yanıt için kuruluşların kullanıcı ve varlık davranış analizine (UEBA) doğru ilerlemesi gerekmektedir.

Log360’ın UEBA konsolu kullanılarak tehditlerin çözümlenmesi

Log360, kullanıcılar tarafından sergilenen düzenli kullanım desenlerini anlamak amacıyla güvenlik duvarları, veritabanı sunucuları, e-posta sunucuları ve uç noktalar gibi farklı kaynaklardan gelen günlükleri toplar ve analiz eder. Bu veriler kullanılarak bir temel oluşturulur. Ardından gözlemlenen aktiviteler ile temel arasındaki karşılaştırmalara dayanan bir risk puanı hesaplanır. Anormal davranış, önem düzeyine göre bir risk puanı oluşturur ve sonra bir uyarı başlatır böylece tehdidi azaltmak üzere gereken eylem gerçekleştirilebilir. Anomaliler zamana dayalı, sayıya dayalı ve desene dayalı olarak tanımlanır.

Log360 UEBA konsolunun ana tehdit algılama işlevleri

İç tehditlerin tespiti

İç tehditler bir kuruluşun ağında kullanıcılar tarafından yaratılan riskler anlamını taşır. Bu, finansal veya kişisel kazanç için hassas bilgileri çalarak kuruluşa zarar vermeyi amaçlayan kötü amaçlı tehdit aktörlerini kapsar. İç tehditler; dikkatsiz eylemleri nedeniyle kazara ağı saldırılara maruz bırakan ihmalkar kullanıcılar da olabilir.

Bazı iç tehdit işaretleri:

  • Anormal dosya izni değişiklikleri
  • Yeni veya olağandışı sistem erişimi teşebbüsleri
  • Olağandışı erişim süreleri
  • Uygulama izin listelemesi
  • Çok fazla kimlik doğrulama hatası

Log360 bu türden olayları yakından izler, anormal davranışı tespit eder ve BT yöneticilerini olası bir saldırıya karşı uyarır. Olay yönetim konsolunu kullanarak tehditleri azaltmada Log360 ile bir adım daha ileri gidebilirsiniz.

       
 
 

Bu senaryoda bir kullanıcının kısa bir zaman diliminde 153 dosya izni değişikliğine çalıştığı gözlemlenebilir ve bu değer belirlenmiş olan 16 temel değerinden yüksektir. Böylece bu işlem bir sayım anomalisi başlatır ve yüksek risk olarak işaretlenir.

spotting-insider-threats
       
 
 

Bu örnekte bir kullanıcının 70 risk puanı vardır ve Log360 çok sayıda gösterge nedeniyle risk altında olması muhtemel bir hesap algılamıştır. Örneğin kullanıcı, belirli bir zaman aralığı içinde kullanıcının normal değişiklik örneği sayısından (28) daha yüksek şekilde 204 dosyada değişiklik gerçekleştirmiştir.

Risk altındaki hesabın tanımlanması

Eğer bir saldırgan yasal bir kullanıcı hesabına erişim kazanırsa, daha fazla riske neden olacak şekilde kötü amaçlı yazılım yüklemeleri gibi zarar verici aktiviteler gerçekleştirmek üzere hesaptan yararlanılabilir. Kullanıcı hesaplarının risk altına girebileceği kimlik avı, deneme yanılma saldırıları, güvenli olmayan ağlara erişen kullanıcılar ve zayıf parola politikaları gibi çeşitli yollar bulunmaktadır.

Bazı yaygın risk altındaki hesap göstergeleri:

  • Kötü amaçlı yazılım yüklemeleri
  • Anormal oturum açma aktivitesi
  • Olay günlüklerinin silinmesi
  • Ardışık oturum açma hataları
identifying-account-compromise

Veri sızdırma algılanması

Veri sızdırma, siber saldırıların çoğu için en yaygın son hedeflerden biridir. Basit bir tanımla veri sızdırma, verilerin bir kuruluşun içinden dışarısına yetkisiz hareketidir. Bu; finansal kayıplar, uyumluluk ihlalleri ve itibar zararı dahil olmak üzere kuruluşu çok yönden etkiler.

Bazı yaygın veri sızdırma işaretleri:

  • Hassas dosyalara ve klasörlere erişim teşebbüsleri
  • Çıkarılabilir depolama cihazlarının takılması
  • Olağandışı dosya indirme desenleri
  • Olağandışı erişim süreleri
       
 
 

Bu senaryoda kullanıcının risk puanı 87 olarak hesaplanmıştır. Bu puan anormal dosya indirmeleri, anormal bir kullanıcı oturum açma sayısı ve çok sayıda oturum açma hatası gibi çok sayıda olayın bir sonucudur.

detecting-data-exfiltration

Neden Log360 UEBA ihtiyaçlarınıza en uygun çözümdür?

     
  • Log360, daha iyi bağlam sağlamak üzere SIEM bileşeni tarafından toplanan günlüklerinden daha fazla bilgi ayıklarken fark edilmeyebilecek olan tehditleri tanımlar, nitelendirir ve araştırır.
  • Panosu aracılığıyla, kullanıcılar ve varlıklar için puana dayalı risk değerlendirmesiyle tehditler için daha yüksek görünürlük sunar. Bu yaklaşım, gerçekte hangi tehditlerin araştırmayı hak ettiğini belirlemenize yardımcı olur.
  • Log360, dinamik eş gruplandırma kullanarak risk puanlama sürecine daha fazla bağlam sağlar. Kullanıcı aktivitelerini izler ve her bir kullanıcının eş grubuna göre bir risk puanı hesaplar. Bir kullanıcı sanal eş grubu için anormal bir davranış sergilerse (yüksek bir risk puanıyla sonuçlanır), bir uyarı verilir.
  • Risk puanlamayı, farklı faktörlere farklı ağırlık atayarak özelleştirir. Bu şekilde Log360’ın arttırılmış tehdit algılamayla sonuçlanan maksimum performans için iyileştirildiğinden emin olabilirsiniz.

Bütün bu işlevleri bir araya getiren Log360’ın UEBA modülü, kuruluşunuzun ağını güvende tutmanıza ve olağandışı tehditlerle kolaylıkla mücadele etmenize yardımcı olur. Diğer temel Log360 işlevleri hakkında daha fazla bilgi edinmek için okumaya devam ediniz.

Hemen indir
Ana Sayfa »