Análisis de comportamiento
El análisis de comportamiento de Cert-IX monitorea y analiza los patrones de comportamiento de usuarios y sistemas para detectar amenazas y actividades anómalas.
Cómo funciona
Establecimiento de línea base
El sistema aprende los patrones normales:
- Horarios de trabajo de los usuarios
- Patrones de acceso a aplicaciones
- Volúmenes de transferencia de datos
- Patrones de comunicación de red
Monitoreo continuo
Monitoreo en tiempo real de:
- Actividad de usuarios
- Comportamiento del sistema
- Tráfico de red
- Acceso a datos
Detección de desviaciones
Cuando el comportamiento se desvía:
- Se calcula la puntuación de anomalía
- Se genera la alerta
- Se proporciona el contexto
- Se sugiere la acción recomendada
Tipos de análisis
Análisis de comportamiento de usuarios (UEBA)
Monitoree la actividad de los usuarios:
- Patrones de inicio de sesión
- Acceso a recursos
- Movimiento de datos
- Uso de aplicaciones
Métricas clave
| Métrica | Descripción |
|---|---|
| Horario de inicio de sesión | Cuándo inician sesión los usuarios |
| Ubicación de acceso | Desde dónde acceden los usuarios |
| Volumen de datos | Cuántos datos mueven los usuarios |
| Uso de aplicaciones | Qué aplicaciones usan los usuarios |
| Patrón de privilegios | Cómo usan los usuarios sus permisos |
Análisis de comportamiento del sistema
Monitoree el comportamiento del sistema:
- Métricas de rendimiento
- Uso de recursos
- Patrones de comunicación
- Cambios de configuración
Análisis de comportamiento de red
Monitoree los patrones de red:
- Flujos de tráfico
- Uso de protocolos
- Patrones de conexión
- Volúmenes de transferencia de datos
Configuración
Configuración del análisis
- Navegue a Analítica → Análisis de comportamiento
- Seleccione las fuentes de datos
- Configure el período de línea base
- Establezca los umbrales de sensibilidad
- Configure las alertas
- Active el monitoreo
Ajuste de sensibilidad
- Alta — Más alertas, detección más amplia
- Media — Equilibrada
- Baja — Menos alertas, más enfocada
Exclusiones
Defina el comportamiento normal conocido:
- Ventanas de mantenimiento
- Procesos de negocio conocidos
- Cuentas de servicio
- Excepciones temporales
Panel de comportamiento
Resumen
- Anomalías detectadas
- Usuarios de riesgo
- Sistemas de riesgo
- Análisis de tendencias
Perfiles de usuario
Para cada usuario:
- Puntuación de riesgo
- Actividad reciente
- Anomalías detectadas
- Línea base de comportamiento
Perfiles de sistema
Para cada sistema:
- Estado de salud
- Métricas de rendimiento
- Anomalías detectadas
- Línea base de comportamiento
Detección de amenazas
Amenazas internas
Detecte amenazas internas potenciales:
- Acceso inusual a datos
- Escalada de privilegios
- Actividad fuera de horario
- Exfiltración de datos
Cuentas comprometidas
Identifique cuentas comprometidas:
- Ubicaciones de inicio de sesión inusuales
- Viajes imposibles
- Patrones de acceso anormales
- Uso inusual de aplicaciones
Movimiento lateral
Detecte el movimiento lateral:
- Patrones de acceso inusuales entre sistemas
- Escalada de privilegios
- Acceso a nuevos recursos
- Patrones de comunicación anormales
Informes
Informes de comportamiento
- Resumen de anomalías
- Perfiles de riesgo de usuarios
- Perfiles de riesgo de sistemas
- Análisis de tendencias
Informes ejecutivos
- Resumen de amenazas
- Usuarios de mayor riesgo
- Acciones recomendadas
- Métricas de mejora
Mejores prácticas
- Permita el aprendizaje de la línea base — Dé tiempo al sistema para aprender
- Revise las alertas regularmente — Valide las detecciones
- Ajuste la sensibilidad — Equilibre detección y falsos positivos
- Investigue las anomalías — No ignore las alertas
- Actualice las exclusiones — Mantenga las exclusiones actualizadas
- Correlacione los datos — Combine con otras fuentes
Relacionado: