بررسی و تحلیل رفتار کاربران با استفاده از ماژول Splunk UBA

راهکار Splunk User & Entity Behavior Analytics یا به اختصار Spunk UBA ، یک راهکار مبتنی بر Machine Learning است که به ارائه رویکردی به منظور شناسایی تهدیدات ناشناخته و رفتار غیر معمول در سطح کاربران، Endpointها و نرم‌افزارها می‌پردازد.

این راهکار نه تنها پاسخگوی تهدیدات خارجی بلکه پاسخگوی تهدیدات داخلی یا Insider Threats نیز خواهد بود.

Splunk UBAشکل 1- Splunk User Behavior Analytics

 

Splunk UBA، هزاران رویداد خام را به چند هزار ناهنجاری و سپس به چند ده تهدید، کاهش می‌دهد تا فرآیند بازنگری و ارائه راه‌حل به سرعت انجام پذیرد. این راهکار، با بهره گیری از الگوریتم‌های مبتنی بر امنیت و معناشناسی یادگیری ماشینی، روش‌های آماری پویا و همچنین Correlation جهت شناسایی تهدیدات پنهان بدون تجزیه و تحلیل انسانی بهره می‌گیرد.

Splunk UBA به شناسایی حملات سایبری و تهدیدات داخل سازمانی با استفاده از علوم داده، یادگیری ماشینی، اصول رفتاری، آنالیز گروه‌های مشابه (خوشه بندی) و همبستگی پیشرفته می‌پردازد. این راهکار با تجزیه و تحلیل پیشرفته امنیتی، سازمان‌ها را در هر اندازه و با هر مهارتی قادر می‌سازد تا تهدیدات شناخته ‌شده و ناشناخته و یا پنهان را شناسایی نموده و به آنها پاسخ دهند. اسپلانک با توصیف چرخه عمر یک حمله سایبری یا تهدیدات داخل سازمانی و همچنین ارائه یک پلتفرم جهت شناسایی، پاسخگویی و خودکار‌سازی، همچنان متقاعد‌کننده‌ترین راهکار تجزیه و تحلیل امنیتی را در صنعت IT فراهم می‌نماید.

به بیانی دیگر، این تکنولوژی، حملات APT مختلف، عملکرد‌های مشکوک و ناهنجار (مانند CnC، Lateral Movement) و غیره را شناسایی می‌نماید.

Splunk UBAشکل 2- UBA WorkFlow

 

قابلیت‌‌های اسپلانک UBA

Splunk UBA دارای قابلیت‌های زیادی است که در ادامه به مهم‌ترین آنها اشاره شده است:

  • ارتقاء فرآیند تشخیص و شناسایی حملات سایبری و تهدیدات داخلیِ شناخته‌شده، ناشناخته و پنهان
  • افزایش اثربخشی عملکرد تحلیل‌گران امنیتی از طریق اولویت‌بندی تهدیدات و اجتناب از False Positive
  • کاربری ساده برای تحلیل‌گران SOC، بررسی‌کنندگان رویدادها و مدیران SIEM
  • قابلیت ردیابی یا Tracking و شناسایی با استفاده از چارچوب رفتار محور، هدفمند و Machine Learning