بررسی و تحلیل رفتار کاربران با استفاده از ماژول Splunk UBA
راهکار Splunk User & Entity Behavior Analytics یا به اختصار Spunk UBA ، یک راهکار مبتنی بر Machine Learning است که به ارائه رویکردی به منظور شناسایی تهدیدات ناشناخته و رفتار غیر معمول در سطح کاربران، Endpointها و نرمافزارها میپردازد.
این راهکار نه تنها پاسخگوی تهدیدات خارجی بلکه پاسخگوی تهدیدات داخلی یا Insider Threats نیز خواهد بود.
شکل 1- Splunk User Behavior Analytics
Splunk UBA، هزاران رویداد خام را به چند هزار ناهنجاری و سپس به چند ده تهدید، کاهش میدهد تا فرآیند بازنگری و ارائه راهحل به سرعت انجام پذیرد. این راهکار، با بهره گیری از الگوریتمهای مبتنی بر امنیت و معناشناسی یادگیری ماشینی، روشهای آماری پویا و همچنین Correlation جهت شناسایی تهدیدات پنهان بدون تجزیه و تحلیل انسانی بهره میگیرد.
Splunk UBA به شناسایی حملات سایبری و تهدیدات داخل سازمانی با استفاده از علوم داده، یادگیری ماشینی، اصول رفتاری، آنالیز گروههای مشابه (خوشه بندی) و همبستگی پیشرفته میپردازد. این راهکار با تجزیه و تحلیل پیشرفته امنیتی، سازمانها را در هر اندازه و با هر مهارتی قادر میسازد تا تهدیدات شناخته شده و ناشناخته و یا پنهان را شناسایی نموده و به آنها پاسخ دهند. اسپلانک با توصیف چرخه عمر یک حمله سایبری یا تهدیدات داخل سازمانی و همچنین ارائه یک پلتفرم جهت شناسایی، پاسخگویی و خودکارسازی، همچنان متقاعدکنندهترین راهکار تجزیه و تحلیل امنیتی را در صنعت IT فراهم مینماید.
به بیانی دیگر، این تکنولوژی، حملات APT مختلف، عملکردهای مشکوک و ناهنجار (مانند CnC، Lateral Movement) و غیره را شناسایی مینماید.
شکل 2- UBA WorkFlow
قابلیتهای اسپلانک UBA
Splunk UBA دارای قابلیتهای زیادی است که در ادامه به مهمترین آنها اشاره شده است:
- ارتقاء فرآیند تشخیص و شناسایی حملات سایبری و تهدیدات داخلیِ شناختهشده، ناشناخته و پنهان
- افزایش اثربخشی عملکرد تحلیلگران امنیتی از طریق اولویتبندی تهدیدات و اجتناب از False Positive
- کاربری ساده برای تحلیلگران SOC، بررسیکنندگان رویدادها و مدیران SIEM
- قابلیت ردیابی یا Tracking و شناسایی با استفاده از چارچوب رفتار محور، هدفمند و Machine Learning