Privileged Account Analytics
概觀
實時用戶行為分析
Balabit的特權帳戶分析軟件Blindspotter集成了Balabit特權會話管理解決方案�,Shell控制盒以及各種上下文數據的詳細數據��,并使用獨特的算法集處理這些數據���,生成不斷通過機器學習進行調整的行為配置文件��。它通過識別基線活動的異常和風險偏差來檢測可疑活動���,提供從基于風險的警報到自動會話終止的廣泛輸出。
在實時檢測未知的威脅
基于規(guī)則的安全性將無法檢測到外部攻擊者或惡意內部人員使用的未知攻擊方法�。 Blindspotter實時跟蹤和可視化用戶活動,以更好地了解您的IT環(huán)境中發(fā)生的事情�。它不需要預先定義的關聯規(guī)則; 它只是與您現有的數據一起工作。
鑒別來自FOE的朋友
使用Balabit特權會話管理捕獲的會話數據�����,例如按鍵����,鼠標移動和執(zhí)行的命令�����,特權帳戶分析引擎可以執(zhí)行行為生物特征分析�。這種生物識別分析不僅可以檢測身份盜用,還可以通過簡單地讓用戶照常執(zhí)行任務來提供持續(xù)的身份驗證�����。
減少警報噪音
特權帳戶分析通過將事件按風險和偏差級別分類來降低警報噪音,突出顯示最可疑的事件����。 警報可以發(fā)送給SIEM,或者安全分析員可以在直觀的用戶界面上查看優(yōu)先事件列表����,使他們能夠調查最嚴重的事件。
特征
特權身份盜竊和內部威脅檢測
實時的洞察力
Balabit的特權賬戶分析機器學習算法實時分析攝入的數據����。 使用收集的數據,它為每個用戶建立一個配置文件�,并不斷將實際活動與基準活動進行比較。 Blindspotter不依賴于單一的算法��,而是利用幾個不同的算法�,并結合結果創(chuàng)建連續(xù)調整的行為配置文件。
無模式操作
Blindspotter不使用模式匹配來檢測“已知的不良”行為���。 使用已經在您的IT環(huán)境中收集的可用數據���,通過使用各種機器學習算法,可以識別“正常”行為并檢測與正?���;€的偏差���。
自動響應
在大多數攻擊情景中,高影響事件之前是偵察階段���。 在此階段的檢測和響應對于防止任何進一步的高影響活動至關重要����。與Balabit特權會話管理的無縫集成可以在發(fā)生高度可疑事件時自動終止會話��。
風險評分
特權帳戶分析對事件進行分類�,并突出顯示最可疑的事件,其中風險和偏差水平都很高��。 它提供了一個儀表板和一個直觀的用戶界面����,供安全分析人員詳細調查這些可疑事件����。這個優(yōu)先級有助于他們減少安全警報的噪音。
屏幕內容分析
Blindspotter分析特權會話的屏幕內容�����,識別發(fā)出的命令并識別典型的用戶行為以檢測異常。 這種細粒度的分析有助于檢測顯而易見的特權濫用信號��。
可插式結構
由于其可插拔的架構���,很容易集成自定義數據源來補充標準數據源�����,如日志管理系統�,SIEM��,特權身份管理解決方案�����,LDAP或Active Directory��。
行為生物統計學
當執(zhí)行相同的動作時��,每個用戶都有自己特有的關于擊鍵和鼠標移動的行為模式���。 內置于“特權帳戶分析”中的算法可以檢查由Balabit特權會話管理捕獲的這些行為特征����。 按鍵動態(tài)和鼠標移動分析不僅有助于識別違規(guī),還可以作為持續(xù)的生物認證�。
