Em qualquer organização, um usuário pode acessar vários dispositivos e aplicações, mas nem sempre com o mesmo nome de usuário ou credenciais. Considere por um momento se seu nome de usuário é o mesmo para suas contas do Linux, Windows ou SQL. Dispositivos e aplicações utilizam registros de usuários específicos da plataforma que são diferentes entre si.
Vincular essas contas de usuário é um desafio comum que as organizações enfrentam, especialmente durante a implementação do login único. Esse desafio administrativo pode prejudicar o desempenho de segurança de uma organização caso a solução de análise de segurança não conseguir mapear o comportamento do usuário em todas as plataformas e atribuir pontuações de risco adequadamente. Imagine monitorar várias contas de usuário em silos separados, cada uma delas com uma pontuação de risco diferente, mesmo que todas pertençam ao mesmo usuário. Essa é o problema enfrentado. A figura abaixo mostra um usuário, Michael Bay, usando identidades de usuário diferentes para efetuar o login e acessar vários dispositivos e aplicações.
Uma solução de UEBA consegue rastrear atividades anômalas de usuários e entidades, gerando uma pontuação de risco e ajudando assim a rastrear e prevenir ocorrências de ameaças internas, comprometimento de contas e exfiltração de dados. Para rastrear anomalias de maneira mais eficaz, o mecanismo de UEBA nas soluções de SIEM utiliza um recurso chamado mapeamento de identidade do usuário. É assim que uma solução de SIEM sabe que as diferentes atividades realizadas usando nomes de usuário distintos são, na verdade, ações do mesmo usuário (Michael).
O que é o mapeamento da identidade do usuário?
O mapeamento de identidade do usuário (UIM) é o processo de mapear diferentes contas de usuário em uma empresa para uma conta base, como o Active Directory, ao fazer a correspondência com atributos comuns. Com o UIM, as atividades de contas de usuários discretas de diferentes fontes são atribuídas ao único usuário que realmente está executando-as. Dessa forma, quando todas as identidades do usuário forem mapeadas, haverá apenas uma representação e pontuação de risco. Ter uma solução de UEBA com UIM pode melhorar a precisão da pontuação de risco e as capacidades de detecção de anomalias.
Como o Log360 da ManageEngine mapeia identidades de usuários para uma detecção aprimorada de anomalias?
Os usuários são mapeados na rede utilizando sua conta do AD como base ou a conta de origem usando configurações de mapeamento. As configurações de mapeamento são regras que os administradores podem criar usando o recurso de UIM, especificando quais atributos da conta de origem do usuário e atributos da conta de destino devem corresponder. O Atributo de Origem é um valor dos dados do AD do usuário (por exemplo, SAMAccount_Name). O Atributo de Destino pode ser qualquer valor de campo na conta de destino (por exemplo, o campo Nome de Usuário do SQL Server). Usuários identificados por esses atributos especificados serão mapeados automaticamente. Aqui está como isso funciona em quatro etapas simples.
- Os administradores criam regras de mapeamento (consulte a Figura 1) especificando quais atributos da Conta de Origem (AD) e da conta de destino do usuário devem corresponder. Todos os usuários do AD e seus detalhes são identificados pelo Log360 automaticamente quando os domínios são adicionados.
Figura 1: Criação de um novo mapeamento para vincular contas de usuário usando o Log360
- Em seguida, o Log360 vai buscar contas de usuários em todas as fontes de logs que atendam a esse critério e as associará à conta do AD do usuário.
- Os administradores podem revisar esses mapeamentos e verificá-los.
- Eles também podem criar regras de identificação individuais para cada usuário específico do AD para mapear diferentes contas de usuário para aquele usuário específico do AD.
Portanto, as contas individuais de usuário são mapeadas com o AD, e todas as anomalias associadas ao usuário em todas as fontes podem ser vistas em um único painel.
As contas de usuários que antes eram consideradas separadas e tinham pontuações de risco individuais, agora terão apenas uma representação e uma pontuação de risco. A pontuação de risco consolidada é calculada a partir da ação do indivíduo em todas as plataformas (Windows, Linux e SQL).
O Log360 da ManageEngine é uma solução de SIEM unificada com capacidades integradas de UEBA, DLP, CASB e SOAR. O Log360 coleta logs de toda a rede, utiliza algoritmos de machine learning para identificar atividades suspeitas de usuários e entidades, e gera uma pontuação de risco. A pontuação de risco é atribuída com base no grau de desvio em relação à linha de base comportamental esperada, o que ajuda a priorizar ameaças. O Log360 melhora a precisão da pontuação de risco ao considerar a análise do grupo de pares, sazonalidade, UIM e modelagem de anomalias, permitindo-lhe personalizar sua pontuação de risco. Para obter mais informações, inscreva-se para uma demonstração personalizada com os nossos especialistas em produtos.