本文介绍了UEBA的实现过程,包括数据采集(日志和网络流量方式)、信息识别(提取关键元素,需2 - 8层信息)、行为刻画、关联分析、行为建模和异常检测6个步骤。还提及全息网御融合多项技术,推出信息安全风险感知平台,提升企业信息安全管理能力。
自2015年Gartner将UBA正式更名为UEBA之后,经过近几年的发展,UEBA的有效性已经在如数据泄露、内部威胁、账号失陷、主机失陷等典型的场景中得到了应用和验证,在此不赘述。本文将对UEBA的实现过程做简要介绍,不涉及任何场景。从全息来看,完成UEBA的落地实施需要具备6个步骤:
NO.1数据采集
数据采集是第一步,也是基础。不同的数据采集方式获得数据类型和颗粒度也不尽相同。目前有两种典型的采集方式:日志(这里将代理方式也划分到日志方式)和网络流量。
日志方式:
根据设备和应用系统提供商预先提供的数据格式、颗粒度和内容等的相关规则,产生日志数据,同理安装代理方式也产生各种日志数据,并将日志数据发送到日志探针。
日志方式随着日志数据内容由少到多、颗粒度由粗到精细的过程,占用的资源会急剧增加,此时会给设备和应用系统带来一定的风险。所以在实施日志采集方式时,通常产生的日志数据都是最小集合和粗颗粒度的,而这对于以数据驱动为核心的UEBA来说,最终的效果会大打折扣。
网络流量方式:
一般是通过交换机镜像功能,将网络流量复制一份,发送到流量采集器。网络流量方式就是真实和实时的网络流量,包含更加全面的信息。同时,又具有无感知和零风险的特点,即通常说的旁路模式,不会改变现有的网络拓扑、不需要对现有的业务系统进行变更,也就不会影响业务,部署也方便易行。全息数据采集也是以网络流量方式为主,在某些情况下,可以采用日志方式作为补充。
NO.2信息识别
是对采集到的数据进行处理,从数据中提取出账号、用户、设备、应用、数据、IP等关键元素。
就日志方式来说,是对采集的日志进行数据标准化处理;网络流量方式则是对采集的流量,通常按照ISO模型进行2-7层解析和信息提取。
随着数据泄露事件的日益频发,如何保护敏感数据所面临的严峻挑战?2-7层信息采集方式显然已经不能胜任,需要更深层次的信息采集能力:2-8层信息提取。这里的第8层表示数据包的内容/上下文,也是通常所说的发现和识别敏感数据。
举个绿皮火车的例子以便于理解第8层信息。对
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
