Защита и операции
UEBA (поведенческая аналитика пользователей и сущностей)
Определение
Подход аналитики безопасности, который строит профиль нормального поведения пользователей и сущностей и фиксирует статистические отклонения, указывающие на компрометацию или внутренние злоупотребления.
Примеры
- Финансовый сотрудник в 03:00 скачивает тысячи записей из новой страны, что вызывает высокий рисковый балл.
- Сервисная учётная запись, обычно пишущая лишь в одну БД, начинает перечислять Active Directory и автоматически блокируется.
Связанные термины
UBA (аналитика поведения пользователей)
Аналитическая технология, которая выстраивает базовые линии нормальной активности пользователей и помечает отклонения, чтобы выявлять злоупотребления учётными записями, внутренних злоумышленников и скомпрометированные учётные данные.
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
SOAR
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
Поведенческая биометрия
Технология непрерывной аутентификации, которая профилирует уникальные действия пользователя — ритм набора, движения мыши, походку и жесты — чтобы выявлять самозванцев.
Обнаружение по аномалиям
Подход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные.