洞察一切的威脅

使用者與實體的行為分析

Exabeam Logo

User & Entity Behavior Analytics (UEBA)

利用使用者與實體的行為分析來...

揭穿偽裝的真面目
抓出內部威脅與躲避其他資安產品的Insider
追蹤使用者行為-無論他在哪裡
橫跨設備、VPN連線、來源IP位址、帳戶名稱、地理位置與使用者授權資訊
洞見觀瞻
減少雜訊、節省人力成本,利用自動分析與即時洞察能力來專注於真正的威脅

為何要用Exabeam來做UEBA?

網路威脅似乎變得越來越危險、越來越頻繁,並且影響更多的人。您的資安系統無法檢測到這些威脅,而您的資安事件應變團隊早已工作超載。

Exabeam 的使用者實體行為分析 (User & Entity Behavior Analytics, UEBA) 可以提供有效的協助。Exabeam 根據科學方式來使用收集到的資料,以便協助您的資安團隊快速找到威脅並有效地做出反應。

即刻發揮效益

Exabeam平台內建了最常見的使用者與實體行為分析腳本。它能快速地了解您的環境,並且知道如何處理您已收集的資料,立刻實現有形的商業價值。Exabeam不需要安裝代理程式(Agents)、不需要網路側錄,也不需要甚麼科學專案分析。Exabeam是唯一一套能夠在數小時內提供給您真正的價值的UEBA解決方案。

及早捕捉攻擊

Exabeam獨特的使用者狀態追蹤(Stateful User Tracking)能力,能夠發現難以發現的攻擊技術,像是:攻擊的橫向移動或是權限提升的動作。攻擊者跳過電腦和帳號以逃避您的分析?這不可能發生在Exabeam的UEBA上。您的SOC分析師可以很快地發覺可能的問題並找出問題出在哪。

 

強化SOC團隊

Exabeam的自動化能夠大量地進行資安事件的分析、調查,以加速產生每個可能的攻擊報告。Exabeam提供您的資安專家所需的能力來有效率地完成他們的工作。

駭客可以模仿員工的行為來偷竊企業的資料,Insiders可以“隱藏”在企業合法授權的身份背後來竊取資料或是攻擊系統。無論哪種方式,他們實際的行為仍然暴露了他們的真實身份。Exabeam的行為分析智慧使用先進的Machine Learning技術來偵測評估您企業網路中的活動風險,Exabeam連接了使用者的完整活動資訊,包括多重帳號資訊、設備、和IP位址來建立一個一致的時間軸(Timeline)。然後,Exabeam UEBA就能呈現出具有風險性的使用者的輪廓給您的資安分析師,他們就可以完整的了解整個資安事件的資訊以及受影響的系統,並且能夠迅速的處理資安事件。

EXABEAM TECHNOLOGY

Exabeam的行為分析智慧平台結合先進的資料科學與強大的資安分析能力來建立使用者狀態追蹤(Stateful User Tracking)的能力。使用者狀態追蹤能夠讓Exabeam UEBA主動尋找威脅、追蹤使用者的軌跡,自動識別具有風險的行為,並呈現風險的輪廓給您的資安分析師以篩選數以千計的警報以及誤報。

 

STATEFUL USER TRACKING

轉換使用者與實體行為的分析方式

Exabeam透過將各個使用者的事件與活動資訊連接在一起以便轉換使用者與實體行為的安全分析,使用者狀態追蹤(Stateful User Tracking)自動地將使用者的行為與活動拼湊成特殊的資料模型,這些使用者使用不同的帳號授權、不同的設備以及出現在不同的IP位址上,依據時間軸所產生的詳細資料明白地顯示出各種事件,因此Exabeam可立即識別“異常”和“不適當”的行為,實現了準確的威脅檢測以及提升資安事件應變的速度。

資安系統的設計用來偵測、預防或是針對某些事件的告警,很快就能讓資安分析師分身乏術,因為他們不一定知道『觸發這個告警的使用者是誰?』、『從他進辦公室後做了哪些事情?』、『在資安系統告警後又發生了甚麼事?』、『這一切都是正常的嗎?』,只有Exabeam的使用者狀態追蹤(Stateful User Tracking)能夠掌握一切狀況,在一整天的過程中,使用者可能變更了身分、設備或是位置,但Exabeam能夠整理出優先等級並提供真正有風險的狀況。

Exabeam Stateful User Tracking Diagram

ADVANCED DATA SCIENCE

透過內建的資安專業技術與資料科學方法來分析

Exabeam使用先進的統計分析與基準線(baseline profile)分析偏差測量的方式來標記有風險的活動行為,整個分析是利用資料分類化、資料數據化以及情境資訊來進行。

Exabeam Data Science資料分類化包括特定可量化類別的事件,例如:一個使用者從特定國家進行帳號登入動作的次數。

資料數據化(例如:存取的資產數量、使用者在一天中所佔用Session的持續時間)利用即時且不須監督的叢集運算進行離散化處理。

情境資訊提供了額外的洞察資訊,例如:這個資產是一台工作站或是一台伺服器?這個帳號是員工在使用的還是系統服務帳號?或者是這個設備是否屬於特權使用者所有?

情境是透過多種機器學習方法來評估,並有助於校準正確性以及降低警報,接著Exabeam進行更多的分析步驟。

Exabeam的技術也支援更廣泛的監視,例如:雲端存取、檔案存取、資料庫存取以及應用程式日誌監視。隨著資料科學和資安威脅的發展演變,Exabeam的平台架構隨時優化新的資料科學分析技術來因應新的資安挑戰。

資料科學分析是好的,但還不夠

Exabeam相信純粹用資料科學分析方法是不夠的,Exabeam已經在大型且嚴苛的客戶環境證明這一點,有效的資料科學分析方法還需要資安領域的專業知識,所以Exabeam建立了一個擁有資安情資的資料科學分析平台。例如:透過對Active Directory事件的專有解釋來預先處理和轉換輸入的資料到機器學習的模型中。Exabeam的資安研究團隊掌控資料科學分析的方向,如此搭配資料科學分析與資安情資的結果,反過來增強資安研究團隊的能力。

簡單化是必備的

Exabeam堅信,簡單化能夠提升安全性。因此Exabeam為了IT/Security人員的利益而隱藏了資料分析的複雜性,雖然讓使用者感覺操作規則看起來很簡單,但這需要特別的設計和研發的努力,才能讓使用者更輕鬆的利用這些深入的、崁入了資安領域專家智慧和建模複雜性這些對資料科學分析工作至關重要的能力,最終能夠獲得一個使用者能夠很容易理解和解釋的資料科學輸出結果。

THREAT HUNTING

隨時查找您所懷疑的蛛絲馬跡

Exabeam Threat HunterThreat Hunter是一個Exabeam的資安情資查詢工具,利用Stateful User Tracking的技術來強化使用者行為分析。

Exabeam Threat Hunter使資安分析人員能夠搜索和透視使用者活動的多個維度,以便查找包含特定異常行為或是找到符合特定條件的使用者,例如:資安分析人員可能會想要查看“所有第一次從國外透過VPN撥入公司的員工,然後隨即存取從未接觸過的伺服器,並且是在企業內的網路告警系統發出警報後”。

Exabeam能夠橫跨這些不相干的活動與系統並提供有用的分析結果,現在資安分析人員可以隨時透過Threat Hunter查詢任何的一舉一動,而Exabeam能夠過機器學習的人工智慧給您答案。

EXABEAM APPLICATIONS

網路威脅可以透過鎖定您企業的員工帳戶、模擬員工的行為以及竊取資料等多種方式來攻擊您的企業組織。Exabeam 的使用者實體行為分析 (User & Entity Behavior Analytics, UEBA) 讓您有能力運用各種策略來追蹤威脅並且消除實體以及虛擬、雲端架構的分析障礙,Exabeam甚至能夠讓您既有的資安設備發揮更大的效益。

 

內部用戶威脅 (INSIDER THREATS)

Exabeam Application - Insider Threats內部用戶威脅來自員工或是外包商,他們可能利用被企業授予的存取權限來竊取機密資料。Exabeam 會針對每個使用者建立行為比較基準以判斷行為是否為正常或異常。然後 Exabeam 也會比較每位使用者與群體之間的差異、監視共用與特權帳戶的狀態。同時也會分析鎖定的帳戶中是否有隱藏內部用戶竊取資料的蛛絲馬跡。Exabeam UEBA 可以整合常見的資料來源進入到威脅分析系統中,例如存取日誌、身份驗證服務、DLP掃描、USB 隨身碟活動、識別證讀卡機、印表機伺服器、資料庫或其他等。

使用者與實體行為分析 (USER & ENTITY BEHAVIOR ANALYTICS)

Exabeam Application - User Impersonation許多的入侵都是利用有效但是遭竊的帳密來進行攻擊,有可能是駭客假冒員工然後趁機存取機敏資料。如何區別到底是正常的員工操作還是駭客假冒員工進行攻擊是一個高度挑戰。Exabeam 採用多種方式,根據每位使用者的比較基準,判斷這個帳戶是否出現不尋常或高度風險的行為。Exabeam UEBA 技術包含監視提升權限、建立帳戶、首次遠端登入、首次存取系統,以及其他不尋常事件。

被鎖定的帳戶 (ACCOUNT LOCKOUTS)

Exabeam Application - Account Lockout被鎖定的帳戶是帳密外洩時最明顯的特徵,因為可能被駭客一直嘗試存取。但糟糕的是,大多數企業的 IT 每天都收到大量的帳戶鎖定通知,任何一個帳戶都需要數小時以上分析才能知道原因。Exabeam 內建帳戶鎖定的特殊分析技術,可以仔細分析每個鎖定帳戶的風險,讓 IT 人員聚焦在真正危險的帳戶而不是浪費時間在排除低風險事件。

勒索軟體 (RANSOMWARE)

Exabeam Application - Ransomware勒索軟體可能從任何地方進入到企業網路中,而且通常橫跨多個系統之間移動也不會被發現。等到被端點的資安產品偵測發現都已經太晚了。Exabeam 利用對系統處理程序的行為分析可以偵測到異常的行為,無須特徵碼。同時也深入研究勒索軟體檔案的擴散動作,判斷異常的處理程序行為是否符合這類惡意程式的活動。早期偵測讓 Exabeam 客戶可以預防作業中斷以及保護資料安全。

雲端日誌分析 (CLOUD ANALYTICS)

Exabeam Application - Cloud Analytics許多企業已經整合公有雲(Public Cloud)或是私有雲(Private Cloud)與企業的資訊架構界接,所以行為分析一定要包含雲端這的區域的資料。Exabeam 接受直接來自雲端服務的日誌資料,例如 Salesforce.com 事件日誌檔案;或是追蹤雲端存取的 Web Proxy 日誌,例如 SonicWALL;以及雲端資安中介商的日誌,如 Skyhigh Networks (控制存取多重雲端服務)。

資料外洩防護 (DATA LOSS PREVENTION)

Exabeam Application - Data Loss PreventionExabeam整合McAfee、Symantec與其他廠牌的資料外洩防護 (DLP) 產品,針對機敏資料可以提供風險情境情資。Exabeam可以匯入DLP掃描資料以確認包含機敏資訊的系統,然後當使用者存取這些系統時可以調整風險係數。Exabeam可以確認使用者正在複製機敏資訊到隨身碟或是正在傳送到印表機。另外透過提供風險情境資訊,也可以強化其他DLP產品的效能。例如一家使用DLP來隔離電子郵件的公司利用Exabeam的風險情境分數可以加速流程並降低誤報。.

特權帳戶監視 (PRIVILEGED ACCOUNT MONITORING)

Exabeam Application - Privileged Account Monitoring特權帳戶(Privileged Account)如系統或資料庫管理員,都具有提升權限的帳戶而且都是駭客的主要攻擊目標。Exabeam 針對特權權限與共用帳戶特別利用分析技術,標示異常的行為。一般而言,特權權限帳戶通常相較於一般員工帳戶會有較高的風險係數。

有了SIEM還不夠,您需要一個能夠更有效運用SIEM龐大資料的幫手!

如果您正在找尋SIEM的解決方案,或是覺得現有的SIEM解決方案無法滿足您在資訊安全偵測與防護上的需求,Exabeam會是您的最佳選擇,歡迎您來深入了解。