четверг, 20 декабря 2018 г.

Какие события генерирует UEBA

Решения класса UEBA только появляются на рынке и заказчики только приступают их тестированию. Решение Palo Alto Networks в сегменте UEBA называется Magnifier. Отличительной особенностью этого продукта является то, что свой поведенческий анализ и профиль работы хостов в сети этот продукт строит на основе анализа журналов NGFW. 


Для понимания - продукту UEBA нужен 21 день после инсталляции, чтобы сделать профили поведения каждого хоста. Хотя, например, NGFW видит уже соединения с C&C или вредоносный код сразу после инсталляции. Однако UEBA позволяет увидеть то, что скрыто под потоком журналов. По статистике на на каждые 100 хостов решение UEBA выдает лишь 1 событие о подозрительной активности в день. Это удобно, потому что зайдя раз в день в систему можно успеть проанализировать событие, отреагировать на него - дать задание ИТ службе очистить компьютер от вируса или понять, что это ваша red team шалит и просто добавить в белый список действия сотрудника.
Для многих является загадкой какие же события выдает UEBA на основе анализа. Если кратко, то такой продукт показывает какой процесс на каком хосте от имени какого пользователя делал что-то необычное. Список таких необычных событий можно просто увидеть в документации Вот в виде картинки:

Понятно, что этот список будет еще расширяться по мере развития продукта, но уже здесь видно на что обращает внимание встроенный алгоритм или как сейчас принято называть Machine Learning.