EXABEAM

You are here

EXABEAM

İç tehditler, kurumsal ağ içindeki kötü niyetli kullanıcıların yol açtığı güvenlik riskleridir. Şirket içi kullanıcının söz konusu olduğu durumlarda kullanıcının davranışları kasıtlı olup bilinçli olarak kurum politikalarını ihlal eder. Dahili tehdit risk sinyallerinin tespiti pek çok yerde bulunabilir; (Uç noktada tepsit, Kimlik okuyucuda tespit, Dosya sunucusunda tespit, yazıcıda tespit, Kimlik yönetim sistemi içinde tespit, Bulutta tespit, Veri tabanı sunucusu içinde tespit) Bu tespitlerin gerçek zamanlı birleştirilmesi kişi tarafından yapılabilecek bir analiz değildir. Analiz otomasyon ve otomatik öğrenme gerektirir. İşte bu yapbozun eksik parçası, Exabeam'in UBA platformudur.

Dahili tehditleri dört aşamalı bir süreçten geçirerek tespit eder.


1. SEÇİP ÇIKARMA VE ZENGİNLEŞTİRME
Exabeam, SIEM'den gelen veri günlüğü, Active Directory ve LDAP'den gelen kimlik bilgileri ve DLP tarama sonuçları gibi diğer içerik bilgileri de dahil olmak üzere, çok çeşitte veriyi içeriye alarak işe koyulur. Temel aktivite verileri, IP adresi gibi sadece minimal birtakım kimlik bilgilerini içeriyor olabilir. Söz konusu veri, kimlik ve içerik bilgileriyle otomatik olarak zenginleştirilebilir. İşte bu noktada, Exabeam otomatik öğrenme için kullanılacak ham petrolü de ele geçirmiş olur.


2. DURUM DENETLEMELİ KULLANICI İZLEME
Exabeam bir kullanıcı tarafından gerçekleştirilen faaliyetlerin tamamını çok çeşitli hesaplar ve aygıtlar üzerinde otomatik olarak birleştirip kolayca anlaşılabilir hale getirir. Sonuç olarak ortaya çıkan oturum verileri, verilere erişim amaçlı karmaşık girişimlerin tespitini garantilemesinin yanında, vaka müdahalesinde bulunan tarafa eksiksiz bir saldırı raporu temin etmektedir.


3. DAVRANIŞ ANALİZİ
Davranışla ilgili motor her bir kullanıcı için normal davranışa ait bir referans değeri oluşturur. Bu durum, dahili tehditte bulunan kullanıcının faaliyetlerinin değerlendirilmesine yönelik kullanışlı bir içerik sağlamaktadır. Örneğin, şahıs normalde bu sisteme veya bu verilere erişim sağlıyor mu? Erişimde bir değişiklik göze çarpıyor mu?


 
4. RİSK SKORLAMA
En son noktada risk skorlama süreci devreye girer. Bir kullanıcıya ait referans değerlerinin; kurallar, korrelasyonlar ve diğer teknikler kullanılarak durum denetleyici oturumlar ve faaliyetlerle karşılaştırılıp değerlendirilmesi yapılmaktadır. Ortaya çıkan son ürün, dahili tehditten kaynaklanan potansiyel veri kaybı riskini kullanıcı başına olmak üzere gösteren net bir resim ortaya çıkar.