مزیت ها و نحوه شناسایی تهدیدات سایبری بر اساس رفتار کاربران با ابزار Splunk UBA

این ابزار با بهره‌گیری از یادگیری ماشین بدون نظارت، به تحلیل رفتارهای کاربران پرداخته و تهدیدات پیشرفته را شناسایی می‌کند. در دنیای امروز، تهدیدات سایبری پیچیده‌تر و پیشرفته‌تر شده‌اند و روش‌های سنتی مبتنی بر قواعد ثابت دیگر قادر به شناسایی تهدیدات ناشناخته یا حملات داخلی نیستند. Splunk UBA با استفاده از الگوریتم‌های یادگیری ماشین، به تحلیل رفتار کاربران و موجودیت‌ها پرداخته و انحرافات از رفتارهای عادی را شناسایی می‌کند

معماری و مدل‌های یادگیری ماشین ابزار Splunk UBA

ابزار Splunk UBA ترکیبی از مدل‌های پردازش جریانی یا Streaming و دسته‌ای یا Batchبرای تحلیل داده‌ها استفاده می‌کند:

• مدل‌های جریانی: این مدل‌ها داده‌ها را در زمان واقعی پردازش کرده و برای شناسایی تهدیداتی که نیاز به واکنش سریع دارند، مناسب هستند.
• مدل‌های دسته‌ای: این مدل‌ها داده‌های تاریخی را تحلیل کرده و برای شناسایی الگوهای بلندمدت و تهدیدات پیچیده‌تر کاربرد دارند.

این مدل‌ها به صورت خودکار رفتارهای عادی کاربران و موجودیت‌ها را یاد می‌گیرند و انحرافات از این رفتارها را به عنوان ناهنجاری شناسایی می‌کنند.

شناسایی ناهنجاری‌ها و تهدیدات

Splunk UBA ناهنجاری‌ها را به عنوان شواهدی از رفتارهای غیرعادی شناسایی می‌کند. این ناهنجاری‌ها می‌توانند شامل مواردی مانند دسترسی غیرمعمول به داده‌ها، انتقال داده‌ها به خارج از سازمان یا فعالیت‌های مشکوک دیگر باشند. سپس، با ترکیب این ناهنجاری‌ها و استفاده از تحلیل‌های گرافی، تهدیدات واقعی را شناسایی می‌کند.

آموزش نحوه مانیتور کردن فعالیت‌های کاربری در اسپلانک

ویدیوهای بیشتر درباره Splunk

تحلیل گروه‌های همتا و پروفایل‌سازی

برای افزایش دقت در شناسایی تهدیدات، Splunk UBA از تحلیل گروه‌های همتا یا Peer Groups و پروفایل‌سازی کاربران و دستگاه‌ها استفاده می‌کند. این روش‌ها به شناسایی رفتارهای غیرعادی در مقایسه با گروه‌های مشابه کمک می‌کنند.

مزایای  ابزار Splunk UBA

• شناسایی تهدیدات ناشناخته: با استفاده از یادگیری ماشین، Splunk UBA قادر به شناسایی تهدیداتی است که در روش‌های سنتی قابل شناسایی نیستند.
• کاهش هشدارهای کاذب: با تحلیل دقیق‌تر رفتارها، تعداد هشدارهای کاذب کاهش می‌یابد.
• افزایش کارایی مرکز عملیات امنیتی (SOC): با ارائه دیدگاه‌های دقیق‌تر و کاهش حجم داده‌های نیازمند بررسی، کارایی SOC افزایش می‌یابد.

در نتیجه Splunk UBA با بهره‌گیری از الگوریتم‌های پیشرفته یادگیری ماشین، به سازمان‌ها کمک می‌کند تا تهدیدات سایبری را به صورت مؤثرتر شناسایی و مدیریت کنند. این ابزار با تحلیل رفتار کاربران و موجودیت‌ها، انحرافات از رفتارهای عادی را شناسایی کرده و تهدیدات را به صورت دقیق‌تری تشخیص می‌دهد.

اجزای اصلی معماری ابزار Splunk UBA

1. سرور مدیریت یا Management Server

این سرور وظیفه میزبانی رابط کاربری وب Splunk UBA را بر عهده دارد و خدمات زیر را ارائه می‌دهد:

• UI Server
• Job Manager Master
• InfluxDB Server
• PostgreSQL
• Impala
• Zookeeper Quorum

در هر استقرار، تنها به یک سرور مدیریت نیاز است.

2. سرورهای جریانی یا Streaming Servers

این سرورها مسئول پردازش داده‌ها در زمان واقعی هستند و مدل‌های جریانی مانند تشخیص Beaconing وب، مدل انتقال شبکه، و مدل‌های رویدادهای غیرمعمول ویندوز را اجرا می‌کنند. خدمات معمول در این سرورها شاملKafka ، Docker ،Kubernetes ،Zookeeper و Redis است.

 بیشتر بخوانید: شناسایی حملات Watering Hole و بدافزاری با قابلیت Splunk UBA

3. سرورهای دسته‌ای یا Batch Servers

سرورهای دسته‌ای وظیفه پردازش داده‌های تاریخی را بر عهده دارند و مدل‌هایی مانند تشخیص افزایش غیرمعمول رویدادهای احراز هویت، تشخیص اسکن شبکه، و مدل‌های تهدید مانند حرکت جانبی را اجرا می‌کنند. این سرورها می‌توانند بر روی یک یا چند گره اجرا شوند.

4. زیرساخت داده یا Data Infrastructure

 Splunk UBA از اکوسیستم Hadoop برای ذخیره‌سازی مقیاس‌پذیر و مقرون‌به‌صرفه داده‌ها استفاده می‌کند. همچنین، از پایگاه‌های داده زمان یا Time-Series Databases و پایگاه‌های داده گرافی برای پردازش و نمایش ارتباطات امنیتی در شبکه بهره می‌برد.

پیاده‌سازی و مقیاس‌پذیری

ابزار Splunk UBA می‌تواند به‌صورت تک‌گره‌ای یا توزیع‌شده پیاده‌سازی شود:

• تک‌گره‌ای یا Single-Node: تمام خدمات بر روی یک سرور اجرا می‌شوند.
• توزیع‌شده یا Distributed: خدمات بین چندین گره تقسیم می‌شوند که امکان مقیاس‌پذیری افقی را فراهم می‌کند. برای مثال، در یک استقرار ۷ گره‌ای، خدمات Spark تنها بر روی گره ۷ نصب می‌شوند، در حالی که خدمات Hadoop  بر روی تمام گره‌ها به‌جز گره ۳ نصب می‌شوند.

بیشتر بخوانید: بررسی و استفاده از Splunk UBA به منظور شناسایی تهدیدات داخلی

تعامل با سایر محصولات Splunk

Splunk UBA داده‌ها را از پلتفرم Splunk Enterprise دریافت می‌کند و با محصولات دیگر مانند Splunk Enterprise Security (ES) و Splunk SOAR یکپارچه می‌شود. این یکپارچگی امکان اشتراک‌گذاری رویدادهای قابل توجه و تهدیدات شناسایی‌شده بین سیستم‌ها را فراهم می‌کند.

معماری Splunk UBA با استفاده از ترکیبی از پردازش‌های جریانی و دسته‌ای، زیرساخت داده مقیاس‌پذیر، و یکپارچگی با سایر محصولات امنیتی، امکان شناسایی و مدیریت مؤثر تهدیدات امنیتی را فراهم می‌کند. این ساختار به سازمان‌ها کمک می‌کند تا با تحلیل رفتار کاربران و موجودیت‌ها، تهدیدات پیچیده را شناسایی و به آن‌ها پاسخ دهند.

مزیت ابزار Splunk UBA برای سازمان ها

 Splunk UBA مزایای قابل‌توجهی برای سازمان‌ها دارد که می‌تواند نقش کلیدی در بهبود امنیت سایبری ایفا کند. در ادامه، به برخی از این مزایا اشاره می‌کنم:

شناسایی تهدیدات ناشناخته و داخلی با یادگیری ماشین

افزایش کارایی مرکز عملیات امنیتی یا SOC

با کاهش میلیاردها رویداد خام به ده‌ها تهدید قابل بررسی، Splunk UBA  به تحلیلگران امنیتی کمک می‌کند تا زمان کمتری را صرف بررسی داده‌های بی‌اهمیت کنند و بر تهدیدات واقعی تمرکز کنند.

کاهش هشدارهای کاذب و اولویت‌بندی تهدیدات

با تحلیل دقیق‌تر رفتارها و استفاده از مدل‌های یادگیری ماشین، Splunk UBA تعداد هشدارهای کاذب را کاهش می‌دهد و تهدیدات را بر اساس شدت و اهمیت اولویت‌بندی می‌کند.

یادگیری از بازخورد کاربران و سفارشی‌سازی مدل‌ها

ابزار Splunk UBA امکان سفارشی‌سازی مدل‌های ناهنجاری را بر اساس فرآیندها، سیاست‌ها، دارایی‌ها، نقش‌ها و وظایف سازمان فراهم می‌کند. این قابلیت به بهبود دقت در شناسایی تهدیدات کمک می‌کند.

افزایش دید و تحلیل جامع تهدیدات

با استفاده از داشبوردهای تعاملی و تحلیل‌های گرافی، ابزار Splunk UBA تهدیدات را در طول زنجیره حمله نمایش می‌دهد و به تحلیلگران امنیتی کمک می‌کند تا الگوهای حمله را بهتر درک کنند.

 

مقاله های مرتبط: