Название базовой системы (платформы): | HPE ArcSight ESM (Security Information and Event Management, SIEM) |
Разработчики: | Hewlett-Packard (HP) |
Дата премьеры системы: | 2015/04/21 |
Дата последнего релиза: | 2015/12/12 |
Технологии: | ИБ - Аутентификация, ИБ - Предотвращения утечек информации, ИБ - Система обнаружения мошенничества (фрод), ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
User behavior analytics (HP UBA) - система обеспечения корпоративной безопасности (HPE UBA), дополнительный модуль системы HP ArcSight. Решение позволяет автоматически обнаруживать инциденты информационной безопасности (ИБ) путем профилирования нормальных поведенческих характеристик активности пользователей.
HP UBA помогает решать задачи трех типов:
- анализ любых событий пользовательской активности
- доступ к базам данных,
- файловым каталогам,
- работа со съемными носителями,
- операции в корпоративных информационных системах (биллинг, платежи, документооборот, работа с персональными данными) и др.
- использование готовых математических моделей по профилированию активности на основе полученных событий
- группировка однотипных событий (peer group analysis),
- выявление аномалий (anomaly detection),
- определение штатного профиля работы (baseline profiling),
- определение частоты возникновения событий (event rarity).
- применение результатов работы математических моделей к задачам информационной безопасности
- выявление инсайдеров,
- контроль привилегированных пользователей,
- необычной активности в корпоративных системах
- «спящие счета»,
- «доступ к карточкам ВИП-клиентов»
- прочее.
User Behavior Analytics дополняет события безопасности расширенным контекстом:
- информация о пользователе,
- рабочее окружение пользователя,
- организационные и другие атрибуты.
Если событие содержит только IP-адрес, тем не менее, это дает возможность понять ФИО пользователя, проявившего активность.
Система позволяет создать универсальную карту пользователя, в которой будут поддерживаться актуальными все его атрибуты:
- дата принятия на работу/увольнения,
- должность,
- подразделение,
- регион и пр.
Есть возможность журналирования всех его учетных записей в информационных системах.
Обладая такой информацией, можно выявить ряд инцидентов безопасности. Например, система обнаружит значительные отличия в активности данного пользователя от рассчитанного профиля активности остальных сотрудников данного подразделения, данного региона, данной должности.Российский рынок CRM-систем: оценки, тренды, крупнейшие поставщики и перспективы. Обзор TAdviser
Сигнал поступит, если сумма проведенных транзакций по конкретному продукту превышает наблюдаемые нормальные значения за рассчитанные временные промежутки (час дня, день недели, неделя, день месяца, месяц, выходные). Будет видна не наблюдаемая ранее активность на конкретном АРМ по работе с административными транзакциями SAP.
Профилирование выполняется системой автоматически, после задания исходных параметров для анализа. Поскольку математические модели универсальны, а использование для сбора событий коннекторов HP ArcSight позволяет привести эту информацию к единому виду, между простотой и функциональностью соблюдается баланс. Часть аналитики можно выполнить с помощью SIEM-системы, HPE User behavior analytics делает это быстрее, проще и с использованием некоторых функций, действующих в решении.
2016: Версия User behavior analytics 1.1
28 января 2016 года компания Hewlett-Packard сообщила о выпуске версии 1.1 продукта аналитики поведения пользователя[1].
Компания выпустила premium-версию продукта в составе которой действуют преднастроенные профили поведенческого анализа, задействован обобщенный опыт использования системы. Это позволяет более эффективно бороться с инцидентами информационной безопасности.
Примечания
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (63)
Softline (Софтлайн) (53)
ДиалогНаука (44)
Информзащита (39)
SearchInform (СёрчИнформ) (38)
Другие (887)
Инфосистемы Джет (5)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Другие (63)
Солар (ранее Ростелеком-Солар) (8)
SearchInform (СёрчИнформ) (4)
А-Реал Консалтинг (3)
Информзащита (3)
Национальный аттестационный центр (НАЦ) (2)
Другие (45)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
InfoWatch (ИнфоВотч) (13, 49)
Солар (ранее Ростелеком-Солар) (4, 48)
SearchInform (СёрчИнформ) (19, 42)
FalconGaze (Фалконгейз) (1, 38)
Positive Technologies (Позитив Текнолоджиз) (5, 35)
Другие (401, 302)
R-Vision (Р-Вижн) (1, 4)
Солар (ранее Ростелеком-Солар) (2, 2)
Инфосекьюрити (Infosecurity) (2, 2)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
SearchInform (СёрчИнформ) (1, 2)
Другие (10, 13)
Солар (ранее Ростелеком-Солар) (2, 7)
SearchInform (СёрчИнформ) (2, 4)
А-Реал Консалтинг (1, 3)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
Makves (Маквес) (1, 2)
Другие (5, 6)
SearchInform (СёрчИнформ) (2, 2)
Softscore UG (1, 1)
Инфосистемы Джет (1, 1)
Перспективный мониторинг (1, 1)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (8, 8)
Распределение систем по количеству проектов, не включая партнерские решения
InfoWatch Traffic Monitor Enterprise (IWTM) - 46
FalconGaze SecureTower - 38
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 36
MaxPatrol SIEM - 31
DeviceLock Endpoint DLP Suite - 31
Другие 334
R-Vision SGRC Центр контроля информационной безопасности - 4
MaxPatrol SIEM - 2
SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2
Kickidler Система учета рабочего времени - 2
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
Другие 12
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
Solar Dozor DLP-система - 4
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar JSOC - 3
SearchInform FileAuditor - 2
Другие 10
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (54)
Инфосистемы Джет (47)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (32)
Другие (810)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
СэйфТек (SafeTech) (3)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (53)
Индид, Indeed (ранее Indeed ID) (8)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
TUV Austria (2)
Солар (ранее Ростелеком-Солар) (2)
Другие (34)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 55)
FalconGaze (Фалконгейз) (1, 38)
СэйфТек (SafeTech) (5, 36)
Аладдин Р.Д. (Aladdin R.D.) (19, 27)
Visa International (2, 26)
Другие (453, 216)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Samsung Electronics (1, 1)
Аладдин Р.Д. (Aladdin R.D.) (1, 1)
Konica Minolta (Коника Минолта) (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
СэйфТек (SafeTech) (1, 1)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
Тинькофф Банк (1, 1)
Другие (1, 1)
Shenzhen Chainway Information Technology (1, 1)
Мультифактор (Multifactor) (1, 1)
1IDM (АйТи Солюшнз) (1, 1)
АТ бюро (ESMART) (1, 1)
СэйфТек (SafeTech) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 44
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 21
Avanpost IDM Access System - 20
Другие 257
PayControl - 3
МегаФон Мобильный ID - 2
Multifactor Сервис многофакторной аутентификации - 1
JaCarta Authentication Server (JAS) - 1
Samsung Knox - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Indeed PAM - Indeed Privileged Access Manager - 2
Avanpost IDM Access System - 1
Solar webProxy Шлюз веб-безопасности - 1
Другие 1