Exabeam高级分析

来源：https://www.exabeam.com/product/exabeam-advanced-analytics/#close

世界上被部署的最多的UEBA解决方案——使用行为建模和机器学习的现代威胁检测。

一、具有行为分析的复杂威胁识别

网络攻击变得越来越复杂，也越来越难以发现。关联规则常常找不到攻击，因为它们缺乏上下文，或者错过了从未见过的事件，从而产生错误的否定。相关规则也需要大量的维护。高级分析可以自动检测出威胁的行为。现在团队不需要花时间在经常出错的相关规则上。

二、预构建的时间线自动重构安全事件

分析人员不应该花费数天或数周的时间来收集证据，并通过SIEM进行查询和转向，构建事件的时间线。使用高级分析，预构建事件时间线标记异常并显示事件的全部范围及其上下文的事件细节。现在，分析师们可以不再花时间仔细研究原始日志来调查事件。花了几周时间调查遗留的SIEM，现在可以在几秒钟内完成。

三、动态对等分组

用户行为模式常常基于无数的属性而有所不同，包括:他们所在的团队、他们参与的项目、他们所在的位置等等。因此，行为基线不应该是静态的。动态对等分组使用机器学习将用户根据他们的行为分配给组，然后将他们的活动与这些组的活动进行比较，以识别异常的、危险的行为。

四、横向运动检测

横向移动是攻击者通过使用IP地址、凭据和机器搜索关键资产来在网络中移动的一种方法。跟踪是困难的，因为跟踪信息只告诉故事的一部分。必须从任何地方分析数据，将攻击与源连接起来。先进的分析专利技术跟踪可疑的活动，即使对设备、IP地址或凭证进行了更改。

五、资产所有权协会

执行安全调查的另一个时间密集型部分是手动过程，以确定谁拥有或经常使用与事件相关的设备。没有方便的IT数据库将设备连接到它们的所有者，移动设备可以存在于任何跟踪之外。高级分析可以根据他们的行为和交互模式来确定设备的所有者。

Exabeam威胁猎手

一、易于使用的指向和点击的界面

威胁猎人点击界面简化了创建复杂搜索查询的过程。现在，SOC中的任何人都可以轻松地开发快速搜索，使用传统查询可能非常困难或不可能。

二、完成事件时间表的工作

威胁查询使用SIEM的语法——需要具有正确技能的分析师。查询还返回大量日志，因此当发现威胁时，分析人员必须通过旋转和查询其SIEM来收集剩余的证据。这涉及手工步骤，可能需要数周时间。威胁猎人是为所有级别设计的，提供自动事件时间线而不是为快速和主动的威胁搜索日志。

三、安全警报的实名搜索

像来自反恶意软件或DLP工具的警报ID是许多安全调查的起点。这样的搜索结果通常会产生大量复杂的事件日志。使用“威胁猎人”，输入警报ID或IP地址将自动生成事件时间线，显示安全事件是如何展开的——以实现对威胁的完全态势感知。