ManageEngine fue nombrado como Challenger en el Cuadrante Mágico™ de Gartner® de 2024 para Gestión de acceso privilegiado

Descargue una copia gratuita del informe aquí.

PAM360 » Características »

Análisis del comportamiento de los usuarios

El panorama actual de la seguridad requiere que las organizaciones asuman un método proactivo hacia la protección de sus cuentas, datos y activos privilegiados. Para reforzar sus perímetros de seguridad, las empresas están invirtiendo en soluciones de seguridad que aprovechen la IA y las técnicas de machine learning para el análisis del comportamiento de los usuarios (UBA) con el fin de detectar y suspender actividades maliciosas. Las herramientas de UBA ofrecen controles de seguridad adaptables para identificar usuarios y actividades maliciosas y para monitorear y mitigar continuamente amenazas en tiempo real.

El UBA privilegiado (PUBA) es una parte esencial de cualquier estrategia de gestión de accesos privilegiados (PAM). El PUBA aprovecha algoritmos de machine learning para analizar y crear patrones de referencia del comportamiento de los usuarios para usuarios y cuentas privilegiados. Esto ayuda a los equipos de TI a detectar y suspender rápidamente comportamientos inusuales, realizar análisis de causa raíz utilizando análisis forenses y tomar medidas correctivas efectivas para minimizar el riesgo de violaciones de la seguridad de los datos al realizar inferencias significativas a partir de los datos de los eventos.

ManageEngine PAM360 aprovecha el PUBA para detectar efectivamente anomalías y así identificar y detener usuarios y actividades sospechosos en sistemas privilegiados. Las funciones de PUBA en PAM360 están dirigidas por deep learning y machine learning (ML) para monitorear y generar patrones extensivos sobre el comportamiento de los usuarios, lo que ayuda a los equipos de TI a tomar decisiones informadas de seguridad con base en investigaciones adicionales de seguridad y la experiencia pasada.

Además, los usuarios pueden suscribirse para recibir alertas en tiempo real para eventos registrados, incluyendo actividades de sesiones privilegiadas, cambios de contraseñas, actualizaciones de políticas y más. Las notificaciones se pueden enviar como correos electrónicos, SNMP traps o mensajes de syslog a sistemas de gestión de logs para un análisis y correlación posteriores.

Vista holística de las actividades de los usuarios en el sistema privilegiado mediante ManageEngine Analytics Plus

PAM360 se integra con ManageEngine Analytics Plus, una solución on-premise para la notificación e inteligencia corporativa, con el fin de suministrar información detallada sobre las actividades actuales de los usuarios. Analytics Plus toma datos de eventos de PAM360 mediante API utilizando las credenciales de inicio de sesión del usuario. Las ventajas clave de esta integración incluyen un monitoreo continuo y en tiempo real de los sistemas privilegiados para controlar, recopilar, analizar y compilar patrones de comportamiento de los usuarios. Aparte del monitoreo, esta integración ofrece informes detallados sobre usuarios privilegiados, recursos, niveles de acceso y sus patrones de uso, junto con un historial integral de operaciones pasadas realizadas por los usuarios.

Dashboard de la actividad de los usuarios privilegiados - PAM360
Dashboard de la actividad de los usuarios privilegiados - PAM360

 

Esto involucra analizar y correlacionar la actividad de los usuarios con logs recopilados y almacenados en sistemas de gestión de logs. Con esta información, los equipos de seguridad pueden detectar rápidamente actividades anómalas, usuarios maliciosos y fuentes de tráfico sospechosas para bloquear preventivamente a los usuarios no autorizados y obtener control sobre los sistemas privilegiados. Mientras que las anomalías o negligencia en las actividades periféricas no necesariamente son maliciosas, los equipos de seguridad al menos pueden permanecer al tanto de las actividades sospechosas y realizar investigaciones adicionales cuando sea necesario.

PAM360 ofrece dashboards integrales e interactivos para indagar detalladamente en el quién, qué y cuándo de los patrones de acceso de los usuarios en sus recursos de TI privilegiados e identificar y aislar rápidamente acciones que se desvíen del comportamiento normal. Esto ayuda a los equipos de TI a terminar preventivamente las sesiones sospechosas y etiquetar las actividades anómalas con el respaldo de la correlación de eventos en tiempo real, lo que elimina el sobrecosto de tener que tamizar enormes volúmenes de logs y datos históricos.

SIEM avanzado y correlación de eventos según el contexto con Log360 UEBA

ManageEngine Log360 UEBA es una solución para la gestión de eventos e información de seguridad (SIEM) basada en ML que aprovecha el análisis del comportamiento de usuarios y entidades (UEBA) para analizar logs de auditorías y detectar comportamientos anómalos con base en puntuaciones de riesgo, tendencias anómalas e informes de auditorías.

Al integrar PAM360 con Log360 UEBA, este último puede tomar los datos de eventos en PAM360 mediante un API usando sus detalles del servidor y credenciales de inicio de sesión. Las pistas de auditoría en PAM360 se envían a Log360 UEBA en intervalos regulares, lo que permite a los administradores consolidar y visualizar las pistas de auditoría de recursos y usuarios, además de generar informes integrales para aplicar controles de seguridad informados.

Dashboard de la actividad de los usuarios privilegiados - PAM360
Dashboard de la actividad de los usuarios privilegiados - PAM360

 

La integración con Log360 UEBA permite a los equipos de seguridad obtener información más detallada de las actividades de los usuarios maliciosos, como inicios de sesión no autorizados, restablecimientos de contraseñas, violaciones de políticas y más con una línea temporal detallada. Además, ofrece opciones para examinar exhaustivamente los detalles más minuciosos en torno a eventos, sistemas, usuarios y demás.

Adicionalmente, las pistas de auditoría ayudan con las investigaciones forenses, ya que toda actividad tiene un fechado, la dirección IP del usuario e información dada por el usuario sobre dicha actividad. Con esta información, los equipos de seguridad pueden calcular la severidad y riesgos pertenecientes a cada anomalía y tomar medidas correctivas más rápido para minimizar el impacto de un incidente de seguridad.