|
一个好的解决方案能更好的保护您的数据,那么如何选择呢? 选择安全解决方案最重要的标准应该基于企业想要解决的特定问题和痛点,SIEM和UEBA集成解决方案可以帮助解很多问题。但是,每家公司都有自己的要求,需所以用户需要根据自身的需要对解决方案进行调整。 当然,成本和投资回报是另一个需要牢记的标准;根据世界公认的 Gordon-Loeb 模型,一家公司在网络安全解决方案上应该花费不超过 37%的预期。  UEBA如何在幕后工作? 无监督的机器学习可以说是检测异常的最佳方法,UEBA 系统会经历一个学习的进程,在此期间它学习每个用户和实体的基线行为。如果检测到异常,IT管理员将在仪表盘上看到该信息。UEBA系统通过机器学习来建立行为模型,并根据该模型来甄别和报告哪些是异常行为,哪些是正常行为。 甄别网络中异常行为的两种主要方法:稳健的主要成员分析和马尔可夫链主要成分分析(PCA) 何为PCA? 主成分分析(PCA)是一种统计方法,用于确定一组观测数据点的最佳拟合线的 方向。 图 1:RPCA 找到一组数据点的“ 最佳拟合线”的方向  何为马尔可夫链? 马尔可夫链是一系列随机事件中下一个事件的概率,取决于当前事件的状态。 马尔可夫链通常将时间视为一个因素,此模型通常用于解决营销和财务方面的业 务问题。例如,给定用户导航到(状态 1)的特定初始网页,他们可能进入的连续网页是什么(状态 2,3,等等),用户获得这些状态的概率是多少? 每项行动都会计算连续的概率,以确定特定行为的风险程度。 将用户和实体与动作列表进行比较,如果在事件列表中未找到事件,则 UEBA 系统会将此操作视为异常并发出警报。 例如,假设用户已经无法登录两次,则该用户在第三次尝试时正确登录的概率是多少? 那么该用户访问数据库服务器并将重要客户信息下载到USB 驱动器的概率是多少?基于过去的行为,UEBA 系统将计算每个后续状态的概率,并给出风险评分。 图 2:使用马尔可夫链的机器学习如何工作  随着时代的发展,SIEM和UEBA正在互相融合。许多 SIEM 供应商正在开发 UEBA 功能, 许多独立的UEBA 供应商开始将他们的工具与 SIEM 解决方案集成。SIEM 解决方案可以通过集成的事件管理和工作流帮助检测攻击并尽快解决问题,而UEBA 解决方案可以帮助我们检测更复杂的攻击。它们共同帮助安全管理员有效处理不同的威胁场景。 下篇文章带您走进“看AI技术如何保护您的企业系列三!” |
|
|
