什么是UEBA?
用户和实体行为分析
通常跨越一定时间和范围,以构建用户和实体(主机,应用程序,网络流量和数据存储)的标准配置文件和行为。 与这些标准基准线异常的活动表示为可疑,并且对这些异常进行打包的分析可以帮助发现威胁和潜在事件。
UEBA解决方案正在和SIEM解决方案相融合,SIEM解决方案正在不断增加高级分析方法,比如机器学习;而UEBA需要更多收集、存储和平台能力。
为什么需要UEBA?
内部威胁升高
根据安全咨询公司报告,对于企业内部威胁和外部威胁之比约为:75% vs 25%
威胁成本增加
2019年内部威胁事件的平均成本为1145万美元,较2018年的876万美元增长了近31%,威胁事件数量为4716起,较2018年的3200起增长了47%
企业痛点
内部威胁的数据源缺失/用户行为视角缺失
企业痛点
基于静态规则容易产生大量误报和噪音/长周期分析算法能力缺失
Cloudfall Redkernel UEBA
云纷Redkernel旨在基于用户既有数据基础、通过预置的机器学习算法和模型,真正有效关注内部威胁、未知威胁。同时通过分析师团队的长期运营和改善,不断调优和改善模型和场景,真正做到UEBA的切实可用和智能化。
低资源
Redkernel依托公有云和云原生技术,无需用户承担巨大的本地计算资源,亦无需具备信息安全和机器学习领域的专业知识。
模型+规则
高级分析模型和静态关联规则相结合,为用户和实体的正常活动设置基线,以检测与该基线、对等组的基线和组织相比的偏差。
威胁信号
敏感数据丢失,检测内部威胁风险信号
难以评估
UEBA主要依靠高级分析方法,企业很难有效地评估供应商的技术和能力。
部署时间长
对于企业用户,即使对于单一场景和用例,UEBA部署也可能比厂商承诺的时间和劳动强度更大
能力缺失
大多数企业并没有很好的使用和运营SIEM解决方案,缺乏数据基础、检测体系、专家知识等相关条件
Redkernel Lite
处于大数据时代,传统的人工分析已经无法满足企业用户每天需要处理海量数据的需求,RedKernel Lite做为一款智能算法引擎,可通过PaaS化的方式,帮助企业用户与自身的数据平台相结合,灵活提供异常检测能力。
RedKernel Lite依托公有云和云原生技术,快速部署、拓展和使用,并且无需用户具备机器学习领域的专业知识。做为一款面向企业用户的产品,RedKernel支持业界常用的各类型数据库,还提供简洁易用的Web操作平台。
主要功能模块
Redkernel支持自动化特征工程和模型调参,以及各种类型的数据。内置的异常检测模型支持监督模型、半监督模型和无监督模型,跨时间序列预测模型、机器学习模型和深度学习模型等多个类别的算法模型。在模型可解释性越来越受到重视的今天,Redkernel内置的所有模型都提供模型可解释性,不仅帮助用户更好的理解模型预测结果,也为模型可信性提供了佐证。
用户实体行为分析
- 静态规则和高级分析相结合
- 动态分组、个体训练
- 预置机器学习算法和模型
- 多租户支持
数据源配置
- 灵活支持多数据源输入
- 支持先离线训练再预测分析
- 支持多场景输出
- 支持API
特征工程
- 数据处理、自动检测清洗
- 支持提取额外细颗粒度特征
- 支持特征编码、自动选取编码
异常检测模型
- 灵活调用和释义
- 时间序列预测
- 机器学习模型
- 深度学习模型