Analisi comportamentale
L'analisi comportamentale di Cert-IX monitora e analizza i pattern di comportamento di utenti e sistemi per rilevare minacce e attività anomale.
Come funziona
Creazione della baseline
Il sistema apprende i pattern normali:
- Orari di lavoro degli utenti
- Pattern di accesso alle applicazioni
- Volumi di trasferimento dati
- Pattern di comunicazione di rete
Monitoraggio continuo
Monitoraggio in tempo reale di:
- Attività degli utenti
- Comportamento del sistema
- Traffico di rete
- Accesso ai dati
Rilevamento delle deviazioni
Quando il comportamento devia:
- Viene calcolato un punteggio di anomalia
- Viene generato un avviso
- Viene fornito il contesto
- Viene suggerita un'azione raccomandata
Tipi di analisi
Analisi del comportamento degli utenti (UEBA)
Monitorate l'attività degli utenti:
- Pattern di accesso
- Accesso alle risorse
- Movimento dei dati
- Utilizzo delle applicazioni
Metriche chiave
| Metrica | Descrizione |
|---|---|
| Orario di accesso | Quando gli utenti effettuano l'accesso |
| Posizione di accesso | Da dove gli utenti accedono |
| Volume dei dati | Quanti dati gli utenti spostano |
| Uso delle applicazioni | Quali applicazioni gli utenti utilizzano |
| Pattern dei privilegi | Come gli utenti usano i loro privilegi |
Analisi del comportamento di sistema
Monitorate il comportamento del sistema:
- Metriche di prestazione
- Utilizzo delle risorse
- Pattern di comunicazione
- Modifiche alla configurazione
Analisi del comportamento di rete
Monitorate i pattern di rete:
- Flussi di traffico
- Utilizzo dei protocolli
- Pattern di connessione
- Volumi di trasferimento dati
Configurazione
Impostazione dell'analisi
- Navigate su Analisi → Analisi comportamentale
- Selezionate le fonti dati
- Configurate il periodo di baseline
- Impostate le soglie di sensibilità
- Configurate gli avvisi
- Attivate il monitoraggio
Regolazione della sensibilità
- Alta — Più avvisi, rilevamento più ampio
- Media — Bilanciata
- Bassa — Meno avvisi, più focalizzata
Esclusioni
Definite comportamenti normali noti:
- Finestre di manutenzione
- Processi aziendali noti
- Account di servizio
- Eccezioni temporanee
Dashboard comportamentale
Riepilogo
- Anomalie rilevate
- Utenti a rischio
- Sistemi a rischio
- Analisi delle tendenze
Profili utente
Per ogni utente:
- Punteggio di rischio
- Attività recente
- Anomalie rilevate
- Baseline comportamentale
Profili di sistema
Per ogni sistema:
- Stato di salute
- Metriche di prestazione
- Anomalie rilevate
- Baseline comportamentale
Rilevamento delle minacce
Minacce interne
Rilevate potenziali minacce interne:
- Accesso ai dati insolito
- Escalation dei privilegi
- Attività fuori orario
- Esfiltrazione dei dati
Account compromessi
Identificate account compromessi:
- Posizioni di accesso insolite
- Viaggi impossibili
- Pattern di accesso anomali
- Utilizzo insolito delle applicazioni
Movimento laterale
Rilevate il movimento laterale:
- Pattern di accesso cross-system insoliti
- Escalation dei privilegi
- Accesso a nuove risorse
- Pattern di comunicazione anomali
Report
Report comportamentali
- Panoramica delle anomalie
- Profili di rischio degli utenti
- Profili di rischio dei sistemi
- Analisi delle tendenze
Report esecutivi
- Panoramica delle minacce
- Utenti a rischio più elevato
- Azioni raccomandate
- Metriche di miglioramento
Best practice
- Consentite l'apprendimento della baseline — Date tempo al sistema di apprendere
- Verificate regolarmente gli avvisi — Validate i rilevamenti
- Regolate la sensibilità — Bilanciate rilevamento e falsi positivi
- Indagate le anomalie — Non ignorate gli avvisi
- Aggiornate le esclusioni — Mantenete le esclusioni aggiornate
- Correlate i dati — Combinate con altre fonti
Correlato: