当今的安全形势要求组织采取积极主动的方法来保护其特权帐户、数据和资产。为了加强安全边界,企业正在投资安全解决方案,利用人工智能和机器学习技术进行用户行为分析 (UBA),以发现和暂停恶意活动。UBA 工具提供自适应安全控制来识别恶意用户和活动,并实时持续监控和缓解威胁。
特权 UBA (PUBA) 是任何特权访问管理 (PAM) 策略的重要组成部分。PUBA 利用机器学习算法为特权用户和帐户分析和创建基线用户行为模式。这有助于 IT 团队快速检测和暂停异常行为,使用取证分析执行根本原因分析,并通过从事件数据中得出有意义的推论,采取有效的补救措施以最大限度地降低数据泄露的风险。
ManageEngine PAM360 利用 PUBA 进行有效的异常检测,以识别和终止特权系统上的可疑用户和活动。PAM360 的 PUBA 功能由深度学习和机器学习 (ML) 驱动,以监控和构建广泛的用户行为模式,这有助于 IT 团队根据进一步的安全调查和过去的经验做出明智的安全决策。
此外,用户可以订阅接收记录事件的实时告警,包括特权会话活动、密码更改、策略更新等。通知可以作为电子邮件、SNMP 陷阱或系统日志消息发送到日志管理系统以进行进一步分析和关联。
PAM360 与 ManageEngine Analytics Plus(一种本地报表和商业智能解决方案)集成,以提供对当前用户活动的深入洞察。Analytics Plus 使用用户登录凭据通过 API 从 PAM360 获取事件数据。这种集成的主要好处包括对特权系统的持续和实时监控,以跟踪、收集、分析和构建用户行为模式。除了监控之外,此集成还提供有关特权用户、资源、访问级别及其使用模式的详细报表,以及用户过去执行的操作的综合历史记录。
这涉及分析用户活动并将其与收集并存储在日志管理系统中的日志相关联。有了这些信息,安全团队可以快速发现异常活动、恶意用户和可疑流量来源,从而抢先阻止未经授权的用户并控制特权系统。虽然临界异常或疏忽活动不一定是恶意的,但安全团队至少可以掌握可疑活动并在必要时进行进一步调查。
PAM360 提供全面的交互式仪表板,可深入研究您的特权 IT 资源中用户访问模式的人员、内容和时间,并快速识别和隔离偏离正常行为的操作。这有助于 IT 团队抢先终止可疑会话并标记由实时事件关联支持的异常活动,从而消除必须筛选大量日志和历史数据的开销。
ManageEngine Log360 UEBA 是一种基于 ML 的安全信息和事件管理 (SIEM) 解决方案,它利用用户和实体行为分析 (UEBA) 来分析审计日志并根据风险评分、异常趋势和审计报表检测异常行为。
通过将 PAM360 与 Log360 UEBA 集成,Log360 UEBA 可以使用您的服务器详细信息和登录凭据通过 API 获取来自 PAM360 的事件数据。来自 PAM360 的审计跟踪会定期发送到 Log360 UEBA,这允许管理员整合和可视化资源和用户审计跟踪,并生成综合报表以实施明智的安全控制。
Log360 的 UEBA 集成使安全团队能够通过详细的时间表更深入地了解恶意用户活动,例如未经授权的登录、密码重置、策略违规等。此外,它还提供了深入了解事件、系统、用户等最细微细节的选项。
此外,审计跟踪有助于取证调查,因为每个活动都带有时间戳、用户的 IP 地址以及用户提供的有关所述活动的信息。有了这些信息,安全团队可以计算与每个异常相关的严重性和风险,并采取更快的补救措施以最大限度地减少安全事件的影响。