¡Y terminamos con esta serie en la sexta entrega!
Debido a que las amenazas internas son las más difíciles de detectar, y potencialmente las más dañinas, el análisis de comportamiento de usuarios y entidades (UEBA) ha sido durante mucho tiempo una herramienta vital para detectar patrones sospechosos que pueden indicar el robo de credenciales.
fraude y otras actividades maliciosas. En esencia, UEBA identifica y sigue los comportamientos de los actores de amenazas a medida que atraviesan entornos empresariales, ejecutando datos a través de una serie de algoritmos para detectar acciones que se desvían de las normas del usuario.
Históricamente, UEBA se adoptó como parte de un enfoque por etapas; las organizaciones comenzarían con un SIEM central, luego eventualmente se expandirían a UEBA y/o SOAR (y más allá).
Pero ahora, Gartner considera que UEBA es una capacidad clave y debería funcionar en conjunto, e idealmente, de la manera más fluida posible, con una solución SIEM para proporcionar información sobre los patrones de comportamiento dentro de la red.
Al combinar el poder de ambas tecnologías dentro de una plataforma, las organizaciones obtienen los beneficios de las técnicas de detección de amenazas que examinan el comportamiento humano y de las máquinas.
Tener UEBA como parte de su SIEM significa que puede reconocer mejor las anomalías de comportamiento, así como tener un contexto adicional sobre las amenazas conocidas y desconocidas.
Esto puede ahorrar tiempo a los analistas y aumentar la eficiencia de su equipo al eliminar los falsos positivos y solo mostrar amenazas de alta fidelidad que normalmente no se pueden detectar a través de la correlación basada en reglas.
Gracias por habernos leído
¡Un saludo!