UEBA (Phân Tích Hành Vi Người Dùng và Thực Thể)
User and Entity Behavior Analytics là gì?
Để tránh các hành vi vi phạm dữ liệu, các doanh nghiệp, tổ chức phải phát hiện và phản hồi nhanh chóng đối với hoạt động bất thường. “Phân tích hành vi người dùng và thực thể (UEBA)” có thể giúp bạn theo dõi các mối đe dọa hoặc các hành vi làm thay đổi dữ liệu của người dùng, cung cấp khả năng phát hiện ra các mối đe dọa hoặc các tác động trái phép đến hệ thống dựa trên hành vi của người dùng.
Tầm quan trọng của UEBA
Ngày này, các mối đe dọa dựa trên người dùng đang ngày càng gia tăng, các rủi ro liên quan đến:
- Các sự cố về hành vi trộm cắp dữ liệu, tác động từ bên trong nội bộ.
- Các vi phạm liên quan đến thông tin đăng nhập bị đánh cắp hoặc được bảo mật yếu.
- Các mối đe doạ từ bên trong nội bộ (Insider Threats)
Với UEBA, ta hoàn toàn có thể cải thiện và khắc các sự cố trên bằng cách:
- Thu thập và làm giàu dữ liệu từ nhiều nguồn khác nhau để phân tích hiệu quả.
- Có được tầm nhìn chuẩn xác nhất về danh tính của người dùng hoặc một thực thể nào đó.
- Phát hiện các mối đe dọa đã biết hoặc chưa biết bằng cách áp dụng phân tích nâng cao.
- Tăng tốc độ kiểm tra và định danh mối đe dọa bằng cách tương quan các sự kiện và truy cập trực tiếp vào trường dữ liệu cơ bản.
- Chuẩn hóa quy trình bằng cách sử dụng các bộ hướng dẫn (Playbook), quy trình công việc (Work-flow) và tự động hóa tác vụ dựa trên quy trình phê duyệt.
- Sử dụng công nghệ trí tuệ nhân tạo (AI) và máy học (ML) để cải thiện thời gian phát hiện và phản ứng lại các mối đe dọa.
Một số tính năng chính của User and Entity Behavior Analytics
Xác định các mối đe dọa nội bộ
Người dùng trong nội bộ vô tình hoặc cố ý gây ra thiệt hại, các vụ tấn công mạng hàng đầu và các hành vi gây hại cho hệ thống. Tính năng này tăng cường giám sát, kiểm tra dữ liệu, vi phạm chính sách và các hoạt động nguy hiểm khác.
Phát hiện tài khoản bị chiếm quyền
Những kẻ tấn công sẽ lợi dụng và sử dụng thông tin của các tài khoản bị xâm phạm. Tính năng này giúp phân biệt giữa hoạt động của tài khoản hợp pháp và tài khoản đã bị chiếm quyền thông qua hồ sơ các hành vi đã học được và phát hiện ra các bất thường. Phát hiện ra các tài khoản mạo danh trước khi gây ra thiệt hại.
Phát hiện hành vi lạm dụng đặc quyền
Người dùng đặc quyền có mọi quyền hạn trong hệ thống, đây là mối rủi ro lớn cho tổ chức, doanh nghiệp. Tính năng này theo dõi cách mà các tài khoản đặc quyền đang được sử dụng, bằng cách giám sát việc tạo tài khoản mới trái phép, truy cập bất thường và những hoạt động rủi ro khác.
Tấn công Brute-Force
Những kẻ tấn công sẽ nhắm mục tiêu vào cơ sở hạ tầng dựa trên hạ tầng đám mây hoặc các hệ thống xác thực bên ngoài. Tính năng này giám sát nâng cao và đưa ra cảnh báo nhanh, chính xác giúp người quản trị đi trước một bước, xác định nhanh cuộc tấn công và thực hiện các biện pháp đối phó để chặn.
Theo dõi truy cập trái phép và đánh cắp dữ liệu
Khi tài khoản người dùng bị xâm phạm hoặc có người giả mạo trong nội bộ tìm thấy những dữ liệu nhạy cảm, người quản trị cần phải phát hiện kịp thời. Tính năng này phân tích toàn diện tệp và giám sát tính toàn vẹn của dữ liệu (File Integrity Monitoring – FIM), phát hiện ra người dùng truy cập không đúng cách vào những dữ liệu đang được bảo vệ theo thời gian thực.
THÔNG TIN VỀ CÁC HÃNG PHÂN PHỐI SẢN PHẨM