قواعد تحليل سلوك المستخدم والكيان (UEBA) في نظام إدارة معلومات الأمان والأحداث (SIEM)

استخدام الحالات الشاذة للمستخدمين والأجهزة والتطبيقات والكيانات الأخرى لاكتشاف التهديدات الإلكترونية.

قواعد UEBA في نظام Kaspersky SIEM

يتقن المهاجمون الإلكترونيون اليوم فن التخفي، حيث يعملون بجد لجعل أنشطتهم الخبيثة تبدو كعمليات طبيعية. ويستخدمون أدوات مشروعة، ويتواصلون مع خوادم القيادة والتحكم عبر خدمات عامة، ويخفون إطلاق التعليمات البرمجية الضارة كإجراءات عادية للمستخدم. ويكاد يكون هذا النوع من النشاط غير مرئي لحلول الأمان التقليدية؛ لكن يمكن اكتشاف بعض الحالات الشاذة من خلال تحليل سلوك مستخدمين محددين أو حسابات الخدمة أو كيانات أخرى. وهذا هو المفهوم الأساسي وراء طريقة لاكتشاف التهديدات التي تُعرف باسم UEBA، وهي اختصار لعبارة “تحليل سلوك المستخدم والكيان”. وهذا بالضبط ما طبقناه في أحدث إصدار من نظام إدارة معلومات الأمان والأحداث (SIEM) الخاص بنا – Kaspersky Unified Monitoring and Analysis Platform.

كيف يعمل UEBA داخل نظام SIEM

وفقًا للتعريف، UEBA هي تقنية أمان إلكتروني تحدد التهديدات عن طريق تحليل سلوك المستخدمين والأجهزة والتطبيقات والكيانات الأخرى في نظام المعلومات. ومع أنه يمكن استخدام هذه التكنولوجيا من حيث المبدأ مع أي حل أمان، إلا أننا نعتقد أنها تكون أكثر فاعلية عند دمجها في منصة إدارة معلومات الأمان والأحداث (SIEM). وباستخدام التعلم الآلي لإنشاء خط أساس للسلوك الطبيعي لمستخدم أو كائن (سواء كان جهاز كمبيوتر، أو خدمة، أو أي كيان آخر)، يستطيع نظام إدارة معلومات الأمان والأحداث (SIEM) المجهز بقواعد كشف UEBA تحليل الانحرافات عن السلوك المعتاد. ويسمح هذا باكتشاف التهديدات المستمرة المتقدمة (APTs) والهجمات الموجهة والتهديدات الداخلية في الوقت المناسب.

لهذا السبب زودنا نظام إدارة معلومات الأمان والأحداث (SIEM) الخاص بنا بمجموعة قواعد UEBA – المصممة خصيصًا لاكتشاف الحالات الشاذة في عمليات المصادقة والنشاط الشبكي وتنفيذ العمليات على محطات العمل والخوادم التي تعمل بنظام Windows. ويجعل هذا نظامنا أكثر ذكاءً في العثور على الهجمات الجديدة التي يصعب اكتشافها باستخدام قواعد الربط التقليدية أو التوقيعات أو مؤشرات الاختراق. وتعتمد كل قاعدة في مجموعة UEBA على توصيف سلوك المستخدمين والكائنات. وتندرج القواعد تحت فئتين رئيسيتين:

  • قواعد إحصائية، تستخدم المدى الرباعي لتحديد الحالات الشاذة بناءً على بيانات السلوك الحالي.
  • قواعد تكتشف الانحرافات عن السلوك الطبيعي، والذي يتم تحديده عبر تحليل النشاط السابق لحساب أو كائن معين.

عند اكتشاف انحراف عن معيار تاريخي أو التوقعات الإحصائية، يصدر النظام تنبيهًا ويزيد من درجة المخاطرة للكائن المعني (المستخدم أو المضيف). (اقرأ هذه المقالة لمعرفة المزيد عن كيفية استخدام حل إدارة معلومات الأمان والأحداث (SIEM) الخاص بنا للذكاء الاصطناعي في تحديد درجات المخاطر).

بنية حزمة قواعد UEBA

ركزنا في حزمة القواعد هذه على المجالات التي تتفوق فيها تكنولوجيا UEBA، مثل حماية الحسابات، ومراقبة نشاط الشبكة، والمصادقة الآمنة. وتتضمن حزمة قواعد UEBA الخاصة بنا حاليًا الأقسام التالية:

المصادقة والتحكم في الأذونات

تكتشف هذه القواعد طرق تسجيل الدخول غير المعتادة، والزيادات المفاجئة في أخطاء المصادقة، وإضافة حسابات إلى مجموعات محلية على أجهزة كمبيوتر مختلفة، ومحاولات المصادقة خارج ساعات العمل المعتادة. وتتم الإشارة إلى كل انحراف من هذه الانحرافات، مما يزيد من درجة المخاطر الخاصة بالمستخدم.

تحليل أنماط DNS

هذا القسم مخصص لتحليل استعلامات DNS الصادرة من أجهزة الكمبيوتر على شبكة الشركة. وتجمع القواعد في هذا القسم البيانات التاريخية لتحديد الحالات الشاذة مثل الاستعلام عن أنواع سجلات غير معروفة، أو أسماء نطاقات طويلة جدًا، أو مناطق غير مألوفة، أو تكرارات استعلامات غير نمطية. ويراقب كذلك حجم البيانات التي يتم إرجاعها عبر DNS. ويتم اعتبار أي انحرافات من هذا النوع تهديدات محتملة، مما يزيد من درجة مخاطرة المضيف.

تحليل أنماط نشاط الشبكة

تتبع الاتصالات بين أجهزة الكمبيوتر داخل الشبكة ومع الموارد الخارجية. تكتشف هذه القواعد الاتصالات التي تجري لأول مرة بمنافذ جديدة، والتواصل بمضيفين غير معروفين سابقًا، والأحجام غير العادية من حركة البيانات الصادرة، والوصول إلى خدمات الإدارة. وتؤدي كل الإجراءات التي تنحرف عن السلوك الطبيعي إلى توليد تنبيهات وزيادة درجة المخاطرة.

تحليل أنماط العملية

يراقب هذا القسم البرامج التي يتم تشغيلها من مجلدات نظام Windows. وفي حالة تشغيل ملف قابل للتنفيذ جديد لأول مرة من مجلدي System32 أو SysWOW64 على جهاز كمبيوتر معين، يتم تسجيله كحالة شاذة. ويؤدي ذلك إلى زيادة درجة مخاطرة المستخدم الذي بدأ العملية.

تحليل أنماط PowerShell

يتتبع هذا القسم مصدر تنفيذ برامج PowerShell النصية. وفي حالة تشغيل برنامج نصي لأول مرة من دليل غير قياسي — أي دليل ليس من ضمن “Program Files” أو “Windows” أو أي موقع شائع آخر — يُعتبر هذا الإجراء مشبوهًا ويرفع درجة المخاطر الخاصة بالمستخدم.

مراقبة VPN

يشير هذا القسم إلى مجموعة متنوعة من الأحداث على أنها محفوفة بالمخاطر، مثل محاولات تسجيل الدخول من دول لم تكن مرتبطة من قبل بملف تعريف المستخدم، أو “سفر” مستحيل جغرافيًا، أو أحجام بيانات غير معتادة عبر شبكة VPN، أو تغيير في برنامج VPN، أو محاولات تسجيل دخول فاشلة متعددة. ويؤدي كل حدث من هذه الأحداث إلى ارتفاع درجة المخاطر الخاصة بحساب المستخدم.

تساعد قواعد UEBA في اكتشاف الهجمات المعقدة وتقليل الإنذارات الكاذبة من خلال تحليل السياق السلوكي. ويُحسن هذا بشكل كبير من دقة تحليلنا ويقلل من عبء العمل على محللي الأمان. ويعزز استخدام UEBA والذكاء الاصطناعي لتخصيص درجة مخاطر لكائن ما سرعة ودقة استجابة المحللين عبر السماح لهم بترتيب الحوادث حسب الأولوية بدقة أكبر. وعند دمج ذلك مع القدرة على إنشاء خطوط أساسية للسلوكيات النموذجية تلقائيًا، تزداد الكفاءة العامة لفرق الأمان بشكل ملحوظ. ويحررهم هذا من المهام الروتينية، ويزودهم بسياق سلوكي أكثر ثراءً ودقة لاكتشاف التهديدات والاستجابة لها.

نعمل باستمرار على تحسين سهولة استخدام نظام إدارة معلومات الأمان والأحداث (SIEM) الخاص بنا. ترقبوا التحديثات على Kaspersky Unified Monitoring and Analysis Platform عبر Kaspersky SIEM.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

  • جميع الدول الاخرى