Exabeam Advanced Analytics

Exabeam Advanced Analytics

Exabeam verzamelt en verwerkt gegevens van een logboekbeheersysteem en andere externe contextgegevensbronnen om geavanceerde beveiligingsaanvallen te identificeren.

Advanced Analytics kan gecompromitteerde, kwaadwillende insiders en geavanceerde bedreigingen identificeren, door gebruik te maken van logboeken en contextuele informatie. Gedrag met een hoog risico in uw organisatie wordt bijgehouden en vervolgens vastgelegd in uitgebreide tijdlijnen, zodat u uw onderzoek van punt tot punt van actie kunt concentreren, in plaats van handmatig gegevens te verzamelen en te zeven.

Overzicht op hoog niveau van Advanced Analytics

Exabeam Advanced Analytics biedt informatie over gebruikers- en entiteitsgedrag, bovenop bestaande SIEM- en logboekbeheergegevensopslagplaatsen, om gecompromitteerde en frauduleuze insiders te detecteren en een volledig beeld te geven van het gebruik van gebruikerssessies en zijdelingse bewegingen in de aanvalsketen. Exabeam haalt logboeken uit verschillende gegevensbronnen (Domeincontroller, VPN, beveiligingswaarschuwingen, DLP enz.) via uw bestaande SIEM, evenals directe opname via Syslog, en verrijkt deze gegevens met identiteitsinformatie, die is verzameld via Active Directory (LDAP). Dit biedt een identiteitscontext voor het gebruik van referenties. Met behulp van gedragsmodellering en -analyse leert Exabeam normale gebruikersreferentieactiviteiten, toegangskenmerken en stelt het automatisch vragen over de gegevens, om afwijkende activiteiten weer te geven.

Ten slotte plaatst Exabeam alle gebruikersreferentieactiviteiten en -kenmerken op een tijdlijn met scores die zijn toegewezen aan afwijkend toegangsgedrag. Traditionele beveiligingswaarschuwingen worden ook gescoord, toegeschreven aan identiteiten en op de tijdlijn van de activiteit geplaatst. Alle systemen die worden aangeraakt door gecompromitteerde referenties van insiders worden geïdentificeerd om het pad van de aanvaller door de IT-omgeving te onthullen.

Hoe Advanced Analytics werkt

Exabeam heeft een aanpak op twee niveaus om incidenten te identificeren. De eerste laag verzamelt gegevens van logboekbeheersystemen en externe contextgegevensbronnen. De tweede laag bestaat uit een risico-engine en Exabeam's Stateful User TrackingTM. De eerste laag normaliseert de gebeurtenissen en verrijkt deze met contextuele informatie over de gebruikers en assets, om inzicht te krijgen in de entiteitsactiviteiten, binnen de omgeving in verschillende dimensies. In deze laag profileren de statistische modelleringsprofielen het gedrag van de netwerkentiteiten. Machine learning wordt toegepast op het gebied van contextschatting, bijvoorbeeld om onderscheid te maken tussen gebruikers en serviceaccounts. In de tweede laag, terwijl gebeurtenissen door de verwerkingsengine stromen, gebruikt Exabeam Stateful User TrackingTM om gebruikersactiviteiten te verbinden tussen meerdere accounts, apparaten en IP-adressen en plaatst alle gebruikersreferentieactiviteiten en -kenmerken op een tijdlijn met scores, die zijn toegewezen aan afwijkend toegangsgedrag. Traditionele beveiligingswaarschuwingen worden ook gescoord, toegeschreven aan identiteiten en op de tijdlijn van de activiteit geplaatst. De risico-engine werkt risicoscores bij, op basis van invoer van de anomaliedetectielaag en van andere externe gegevensbronnen. De risico-engine brengt de beveiligingskennis en -expertise in, om anomalieën uit te vergroten, die qua veiligheid aanzienlijk zijn. Incidenten worden gegenereerd, wanneer sommige scores de gedefinieerde drempelwaarden overschrijden.

Logboeken ophalen en opnemen

Exabeam kan logboeken ophalen uit SIEM-logboekopslagplaatsen en ook logboeken opnemen via Syslog. We ondersteunen momenteel logboekopname van Splunk, Microfocus ArcSight, IBM QRadar, McAfee ESM en RSA Security Analytics, evenals andere gegevensbronnen zoals Exabeam Data Lake. Voor Splunk en QRadar vindt logboek opname plaats via externe API's en Syslog wordt gebruikt voor alle anderen. Voor SIEM-oplossingen, zoals LogRhythm, McAfee ESM en LogLogic, nemen we logboeken op via Syslog forwarding.

Context toevoegen

Logboeken vertellen ons wat de gebruikers en entiteiten doen, terwijl de context ons vertelt wie de gebruikers en entiteiten zijn. Dit zijn gegevensbronnen, die doorgaans afkomstig zijn van identiteitsservices zoals Active Directory. Ze verrijken de logboeken om te helpen bij het anomaliedetectieproces of worden rechtstreeks door de risico-enginelaag gebruikt, voor op feiten gebaseerde regels. Ongeacht waar deze externe feeds worden gebruikt, ze gaan allemaal door de anomaliedetectielaag, als onderdeel van een gebeurtenis. Voorbeelden van contextinformatie, die mogelijk wordt gebruikt door de anomaliedetectielaag, zijn de locatie voor een bepaald IP-adres, de ISP-naam voor een IP-adres en de afdeling voor een gebruiker. We kunnen ook contextuele informatie invoeren van HR Management Systems, Configuration Management Databases, Identity Systems, etc. Een ander voorbeeld van contextuele informatie zijn threat intelligence feeds, die door de anomalie detectie laag worden gebruikt om te controleren of een specifiek IP-adres wordt vermeld in een threat intelligence feed.

Detecteren anomalieën

Dit onderdeel maakt gebruik van machine learning-algoritmen om o.a. gebruikers, sessies en apparaten te identificeren, die zich op een afwijkende manier gedragen. De afwijkingen kunnen relatief zijn ten opzichte van één gebruiker, sessie of apparaat of ten opzichte van verschillende groepen ervan. Sommige anomalieën kunnen bijvoorbeeld verwijzen naar een gedrag dat abnormaal is voor een gebruiker ten opzichte van zijn verleden en andere anomalieën kunnen rekening houden met afwijkend gedrag ten opzichte van mensen met rollen, die vergelijkbaar zijn met de individuele (peer group), locatie of andere groeperingsmechanismen. De algoritmen worden voortdurend verbeterd om de snelheid en nauwkeurigheid van numerieke gegevensberekeningen te verhogen. Dit verbetert op zijn beurt de prestaties van Advanced Analytics

Risico beoordelen met behulp van de risico-engine

De risico-engine behandelt elke sessie als een container en wijst risicoscores toe aan de gebeurtenissen, die als afwijkend worden gemarkeerd. Naarmate de som van gebeurtenisrisicoscores een drempel bereikt (een standaardwaarde van 90), worden incidenten automatisch gegenereerd binnen de module Case Management of geëscaleerd als incidenten, naar een bestaande SIEM of ticketingsysteem. De gebeurtenisscores zijn ook beschikbaar voor de gebruiker om een query uit te voeren, via de gebruikersinterface. In sommige gevallen weerspiegelen de scores niet alleen informatie, die door Exabeam als afwijkend wordt beschouwd op basis van gedragslogboekenfeeds, maar kan het een Exabeam-score bieden in verband met andere beveiligingswaarschuwingen die kunnen worden gegenereerd door bronnen van derden (bijvoorbeeld FireEye- of CrowdStrike-waarschuwingen). Deze beveiligingswaarschuwingen zijn geïntegreerd in gebruikerssessies en beoordeeld als feitelijke risico's.

De Advanced Analytics Architectuur

Exabeam heeft een scale-out architectuur, dat een cluster van knooppunten is, dat voldoet aan de behoeften van kleine tot wereldwijde organisaties. Klanten kunnen beginnen met één knooppunt Exabeam-apparaat of een cluster van meerdere knooppunten, op basis van het aantal actieve gebruikers en het volume logboeken dat door de Exabeam-engine wordt verwerkt. Kleinere organisaties kunnen op één knooppuntapparaat functioneren, terwijl we voor grotere organisaties horizontaal kunnen schalen door, indien nodig, meerdere knooppunten toe te voegen. Een knooppunt kan een fysiek apparaat of een virtueel apparaat zijn. Door de verwerking over meerdere CPU-kernen en knooppunten te distribueren, kan Exabeam niet alleen omgevingen met veel werknemers ondersteunen, maar ook feeds met een hoog volume, zoals eindpuntlogboeken of logboeken voor webactiviteit (proxy).

LIME (Log Ingestion and Message Extraction): LIME draait op het masterknooppunt of een zelfstandig knooppunt (afhankelijk van het logboekvolume). Het is het Exabeam-proces dat interfaces heeft met Exabeam Data Lake of een alternatieve opslagplaats voor klantenlogboeken; het haalt de gegevens op of ontvangt via Syslog en slaat deze op HDFS op. Daarnaast normaliseert het ook de onbewerkte logboeken in gebeurtenissen die de rest van de Exabeam-pijplijn kan verwerken. Nadat de gebeurtenissen zijn geparseerd, worden de geparseerde gebeurtenissen in HDFS opgeslagen, waar de master- en slaveknooppunten ze ophalen voor pijplijnverwerking. HDFS (Hadoop Distributed File System): Dit is een gedistribueerd bestandssysteem, dat bestands- en directoryservices van afzonderlijke servers zodanig organiseert, dat externe gegevenstoegang niet locatiespecifiek is, maar identiek is vanaf elke client. Alle bestanden zijn toegankelijk voor alle gebruikers van het wereldwijde bestandssysteem en de organisatie is hiërarchisch en directory-gebaseerd. Gedistribueerde bestandssystemen gebruiken meestal bestands- of databasereplicatie (het distribueren van kopieën van gegevens op meerdere servers) om te beschermen tegen fouten in de gegevenstoegang. HDFS biedt toegang tot toepassingsgegevens met een hoge doorvoer en is geschikt voor toepassingen met grote gegevenssets. Het is zeer fouttolerant en maakt streaming toegang tot bestandssysteemgegevens mogelijk. Hier slaat Exabeam de onbewerkte logboeken op, die zijn opgehaald uit de SIEM en Syslog, evenals de geanalyseerde gebeurtenissen, die worden geopend door de knooppunten, ten behoeve van verwerking. Deze bestanden zijn beschikbaar voor alle knooppunten. Docker Containers: Elk belangrijk onderdeel van Exabeam (zoals LIME, Analytics Engine, HDFS, etc.) bevindt zich in een Docker container. Docker-containers pakken een stuk software in, in een compleet bestandssysteem, dat alles bevat wat nodig is om uit te voeren: code, runtime, systeemtools, systeembibliotheken - alles wat u op een server kunt installeren. Dit garandeert dat het altijd hetzelfde zal lopen, ongeacht de omgeving waarin het draait.

Hoofdknooppunt: Het hoofdknooppunt is het meest krachtige knooppunt van het cluster - het voert de verwerkingspijplijn uit en coördineert in een omgeving met meerdere knooppunten ook de activiteiten van het knooppuntcluster. De sessie manager wordt uitgevoerd op het hoofd knooppunt en identificeert alle logboeken, die deel uitmaken van een sessie door alle activiteiten van een gebruiker samen te stellen, vanaf het moment dat ze zich aanmelden, tot het moment dat ze zich afmelden.

Worker Nodes: In een omgeving met meerdere knooppunten zijn de Worker Nodes verantwoordelijk voor het verwerken van alle logboeken, die worden gegenereerd door feeds met een hoog volume. De Worker Nodes voeren sequence manager uit, die alle logboeken verwerkt die behoren tot feeds met een hoog volume, zoals proxy- of eindpuntlogboeken.

Exabeam-klanten kunnen beginnen met een masterknooppunt en indien nodig werkknooppunten toevoegen. Als een cluster slechts één knoop punt heeft (dat is het hoofd knooppunt), voert het knoop punt zowel sessiebeheer als sequence manager uit (indien nodig). Gedistribueerde database: alle metagegevens van sessies, gebruikers, activa en gebeurtenissen worden gesorteerd in een gedistribueerde Mongo-database. De database is gedistribueerd om het hogere volume aan gegevens af te handelen en de logboeken, die in elke verwerkingseenheid zijn opgeslagen, zijn beschikbaar voor alle knooppunten.

Gebruikersinterface: Webservices voor de gebruikersinterface worden uitgevoerd op het hoofdknooppunt, hoewel het technisch gezien op elke interface kan worden uitgevoerd. Het haalt gegevens op uit de database.

De SIEM oplossing, Security Information and Event Management, is een geavanceerde tool waarmee verdachte netwerkactiviteiten getraceerd kunnen worden. Daarnaast kan, in de vorm van incident response, actie worden ondernomen. SIEM helpt u inzicht te geven in de dagelijkse gebeurtenissen binnen uw netwerk. Dit inzicht is essentieel voor een sterk IT Security fundament.

SolidBE & Exabeam

SolidBE is Exabeam specialist, ervaren en heeft de expertise om u te ondersteunen in de support, migratie, beheer, monitoring en implementatie van Exabeam oplossingen.

Contact

SolidBE B.V.
Maarten Schoutenstraat 19
2741 SV Waddinxveen

KVK 51248794
NL 82 3170 846 B01
NL07 RABO 0157 5353 98