top of page
faixa teste.png

Blog INFOSW

UEPA, 1...2...3!

Oi, calma, não se trata da música do Ricky Martin “Maria”, aqui vamos falar um pouco sobre UEBA!

 


O que é UEBA?

UEBA = User and Entity Behavior Analytics.



Em uma tradução literal, UEBA, é a análise comportamental de usuários e entidades.

Seu primeiro uso foi para as equipes de marketing, que tinham na tecnologia uma forma de obter uma análise detalhada do comportamento dos consumidores e podiam prever os hábitos de compra.


Com o tempo, foi percebido que essa ideia também poderia ser aplicada no contexto da segurança cibernética.

A análise de comportamento de usuários e entidades (UEBA) ou detecção de anomalias é uma técnica de segurança cibernética que usa algoritmos de máquina para detectar atividades anômalas de usuários, hosts e outras entidades em uma rede.

Para detectar anomalias, o UEBA primeiro aprende sobre o comportamento esperado de todos os usuários e entidades em uma rede e cria uma linha de base de atividades regulares para cada um deles. Qualquer atividade que se desvie dessa linha de base é sinalizada como uma anomalia. As soluções UEBA se tornam mais eficazes quanto mais experiência ganham.


Benefícios da UEBA:

Defenda-se contra ameaças internas, comprometimento de contas e exfiltração de dados.

Uma pontuação de risco é calculada para cada usuário e entidade na organização após comparar suas ações com sua linha de base de atividades regulares.

A pontuação de risco pode variar de 0 a 100, indicando nenhum risco até o máximo risco, respectivamente.

A pontuação de risco depende de fatores como o peso atribuído da ação, a extensão do desvio da linha de base, a frequência do desvio e o tempo decorrido desde o desvio.

Aqui estão algumas atividades que podem aumentar a pontuação de risco de usuários e identidades, indicando possíveis ameaças internas e comprometimento de contas e exfiltração de dados, ou seja sinais de um ameaça interna:

  • Acessos de sistema novos ou incomuns.

  • Tempos de acesso incomuns.

  • Acessos ou modificações incomuns a arquivos.

  • Falhas de autenticação excessivas.

Sinais de comprometimento da conta

  • Software incomum em execução para um usuário.

  • Várias instâncias de software instaladas em um host.

  • Várias falhas de logon em um host.

Sinais de exfiltração de dados

  • Downloads de arquivos incomuns.

  • Múltiplas criações de discos removíveis por usuários.

  • Comandos incomuns executados por usuários.

  • Logons de host anormais.



Pontuação de risco do usuário e da entidade

A UEBA mantém uma pontuação de risco para cada perfil de usuário e entidade. Sempre que um log de atividades de um usuário/entidade difere de sua linha de base, a pontuação de risco desse perfil específico aumenta. Uma pontuação de risco aumentada de um perfil ajuda o administrador de TI a analisar o assunto imediatamente para evitar qualquer violação de segurança.

Tendências de anomalias:


Representa graficamente as variações no número de anomalias para um determinado período de tempo.

Aqui na Infosw Tecnologia, nós utilizamos a UEBA, para analisar, alarmar e mitigar os riscos de acordo com o cenário em diversos ambientes, garantindo assim um olhar de atenção ao desvio de comportamento dos usuários em redes e aplicações.

Por: Antonio Santana

Quer saber quais são os diferentes tipos de ameaças que a UEBA pode identificar? Clique aqui e mande direto para nosso formulário!