日志易UEBA基于自研高性能数据搜索引擎Beaver和低代码编程语言SPL(Search Processing Language),具备独立的日志以及流量采集能力,能够对各类日志进行采集,以强大的数据统计分析和挖掘能力,实现多维度异常检测与分析。
产品功能
群体风险视图
通过可视化方式,将各部门告警用户总数、告警部门数、告警趋势及排名、关注用户动态等情况,以用户群体分组的方式展示目前环境中的威胁概况。
个人风险视图
通过用户唯一标识,查询用户个人信息、告警概况、告警趋势、标签等,可集中查看用户的威胁风险信息。
标签画像
集中展示用户所有标签画像信息,刻画用户正常行为基线,进而分析用户异常行为。
威胁告警
集中展示触发威胁告警规则的告警,安全人员可进一步分析确认告警并进行标记或通过第三方安全设备/系统进行响应,对相关的用户进行处置(锁定账户或者发送工单等)。
规则配置
通过界面化规则配置方式,对实时数据以及历史数据进行聚合、关联、对比等自动分析,实现威胁建模。
身份中心
可以通过手动导入、CSV导入、对接第三方系统等方式获取用户信息,为个人风险视图、用户画像提供用户信息。
产品优势
引入图分析可视化链路追踪技术,实现用户行为/告警可视化,并以用户/设备/IP地址/操作命令/文件/进程等节点类型,对用户的办公行为以及运维行为进行可视化链路追踪,有利于对同一用户使用多凭证或者同一凭证多用户使用相关场景的关联分析,展示不同用户之间的关联
支持多数据源的采集与清洗,内置250+针对不同厂商各类设备的解析规则,灵活对接采集各类设备日志
内置20+算法模型,包含回归、预处理、时序预测、分类以及聚类算法等
通过高频行为、罕见行为、个群行为、自动化行为分析等异常行为分析建模方式,构建并内置场景100+,涉及数据泄露、安全合规、失陷账户、离职分析、怠工分析等各种分析模型
根据实际环境合规与监管纬度构建不同风险维度并针对不同规则,定义风险评分,为每个用户输出相关的风险分值与评分流水,便于分析与审计
实现价值
针对企业内部各类威胁,传统检测方法往往是通过单点规则以及人为设定阈值进行防护检测,面对合法进程中的恶意攻击仍然存在安全可见性盲区。
日志易UEBA可深入对内部用户、行为等属性进行综合规则判断和行为基线偏离预警,实现合规分析、异常行为检测、数据安全等安全内控场景的风险识别和防控能力提升,帮助用户快速感知内部用户的可疑操作。
日志易UEBA平台建设案例
相对于传统安全设备对分析外部威胁事件的优势,内部威胁的分析场景UEBA更有优势,UEBA更多的是关注人的行为,从另一视角去发现问题。
