Корреляционные методы выявления угроз, применяемые в SOC последние два десятка лет, хорошо зарекомендовали себя для детектирования известных угроз – тех, логика обнаружения которых может быть определена последовательностью конкретных событий. Для выявления современных угроз одной корреляции уже недостаточно: слишком большое количество разнородных условий, существенное влияние различных контекстов. Статистический анализ данных позволяет заполнить эту брешь в инструментарии защитников. И хотя методы профилирования нормальной активности могут быть реализованы и традиционными SIEM решениями, они в таком случае очень трудоёмки в реализации и ограничены небольшим набором контролируемых параметров. Решения класса UEBA появились на рынке средств защиты для решения именно этой задачи. Современные методы Machine Learning (подраздела мат. Статистики) и технологии Big Data позволяют анализировать колоссальные объёмы информации с использованием огромного множества критериев. UEBA-системы выстраивают модель нормального поведения активов организации и позволяют обнаруживать отклонения во множестве различных контекстов. Добавление функционала поведенческого анализа к существующим инструментам SOC помогает вывести уровень детектирования угроз на новый уровень: находить новые и неизвестные типы атак, корректнее приоритезировать обнаруженные инциденты.
ArcSight Interset является одним из наиболее интересных представителей рынка UEBA решений. В рамках данного вебинара мы рассмотрим его технические возможности, архитектуру, требования к инфраструктуре и процесс инсталляции, посмотрим на интерфейс системы. А также расскажем про варианты премиум поддержки пользователей в области ArcSight с упором на центры SIEM и Data Platform.