ArcSight User Behavior Analytics

User behavior analytics (HPE UBA) — система обеспечения корпоративной безопасности (HPE UBA), дополнительный модуль системы HP ArcSight. Решение позволяет автоматически обнаруживать инциденты информационной безопасности (ИБ) путем профилирования нормальных поведенческих характеристик активности пользователей.

HP UBA помогает решать задачи трех типов:

• анализ любых событий пользовательской активности:
• доступ к базам данных,
• файловым каталогам,
• работа со съемными носителями,
• операции в корпоративных информационных системах (биллинг, платежи, документооборот, работа с персональными данными) и др.
• использование готовых математических моделей по профилированию активности на основе полученных событий:
• группировка однотипных событий (peer group analysis),
• выявление аномалий (anomaly detection),
• определение штатного профиля работы (baseline profiling),
• определение частоты возникновения событий (event rarity).
• применение результатов работы математических моделей к задачам информационной безопасности:
• выявление инсайдеров,
• контроль привилегированных пользователей,
• необычной активности в корпоративных системах
• «спящие счета»,
• «доступ к карточкам ВИП-клиентов»,
• прочее.

Скриншот окна приложения (2015)

User Behavior Analytics дополняет события безопасности расширенным контекстом:

• информация о пользователе,
• рабочее окружение пользователя,
• организационные и другие атрибуты.

Если событие содержит только IP-адрес, тем не менее, это дает возможность понять ФИО пользователя, проявившего активность.

Система позволяет создать универсальную карту пользователя, в которой будут поддерживаться актуальными все его атрибуты:

• дата принятия на работу/увольнения,
• должность,
• подразделение,
• регион и пр.

Есть возможность журналирования всех его учетных записей в информационных системах.

Обладая такой информацией, можно выявить ряд инцидентов безопасности. Например, система обнаружит значительные отличия в активности данного пользователя от рассчитанного профиля активности остальных сотрудников данного подразделения, данного региона, данной должности.

Сигнал поступит, если сумма проведенных транзакций по конкретному продукту превышает наблюдаемые нормальные значения за рассчитанные временные промежутки (час дня, день недели, неделя, день месяца, месяц, выходные). Будет видна не наблюдаемая ранее активность на конкретном АРМ по работе с административными транзакциями SAP.

Профилирование выполняется системой автоматически, после задания исходных параметров для анализа. Поскольку математические модели универсальны, а использование для сбора событий коннекторов HPE ArcSight позволяет привести эту информацию к единому виду, между простотой и функциональностью соблюдается баланс. Часть аналитики можно выполнить с помощью SIEM-системы, HPE User behavior analytics делает это быстрее, проще и с использованием некоторых функций, действующих в решении.

Версия User behavior analytics 1.1

Hewlett Packard Enterprise сообщила о выпуске версии 1.1 продукта аналитики поведения пользователя.
Компания выпустила premium-версию продукта в составе которой действуют преднастроенные профили поведенческого анализа, задействован обобщенный опыт использования системы. Это позволяет более эффективно бороться с инцидентами информационной безопасности.