Перейти к содержимому

User Behavior Analytics

Модуль предоставляет механизмы для выявления отклонений в поведении разных типов объектов: пользователей, хостов, администраторов, информационных систем, бизнес-процессов процессов и пр. Универсальный механизм вычисления скоринга позволяет выявлять потенциальных злоумышленников, скомпрометированные учетные записи, вычислять индекс кибербезопасности, анализировать операционную эффективность и трудовую дисциплину, бороться с фродом.

Примеры отклонений:

  • время подключения по VPN необычно для пользователя
  • пользователь подключился по VPN из необычного города или страны
  • пользователь запустил крайне редко используемую программу
  • пользователь отправил необычно большой объем писем

Функциональные характеристики

Решение разнообразных задач

Модуль позволяет решать задачи из разных предметных областей. То есть закрыть потребности разных функциональных заказчиков. Основная задача — упорядочить обрабатываемые объекты в соответствии с начисленными для них скоринг-баллами. 

Принцип работы модуля

Рассмотрим объект — учетную запись пользователя John.S. У этого объекта есть ряд параметров — e-mail, логин, SSID, phone number. Все эти данные мы можем получить из систем, уже подключенных к SAF, а также воспользоваться модулем Inventory.

У нас есть объекты и набор накопленных в системе ретроспективных данных. С помощью политик профилирования мы формируем для каждого объекта профили. Профиль — это набор параметров, привязанных к конкретному объекту.

Например:

  • список серверов, на которых пользователь выполнял когда-либо какие-то действия;
  • временные характеристики: типовое время входа в систему, типовые VPN-подключения и тому подобное;
  • набор информационных систем, в которых пользователь работает;
  • на каких серверах пользователь совершал определенные типы операций;
  • количественные характеристики, связанные с почтовой активностью пользователя.
С помощью правил выявления аномалий мы анализируем и фиксируем отклонения, начисляя скоринг-баллы конкретным объектам. При превышении заданных значений мы можем реагировать на это, создавая инцидент, отправить оповещение, выполнить произвольное действие, проводить анализ на функциональных дашбордах.

Если вас заинтересовал модуль, вы можете связаться с нами и обсудить все подробности.