Splunk User Behavior Analytics (UBA) jest rozwiązaniem służącym do wykrywania zagrożeń i nadużyć w oparciu o analizę zachowań użytkowników oraz systemów informatycznych. Posiada zdolność uczenia się i określania bazowych aktywności użytkownika, dzięki czemu może np. wysyłać ostrzeżenie, gdy wykryje aktywność wykraczającą poza normę. Do tworzenia modelu standardowych zachowań użytkownika, wykorzystuje informacje dotyczące m.in. urządzeń wykorzystanych do logowania, lokalizacji oraz uprawnień użytkownika.


Wybrane funkcje Splunk UBA:

• wykrywanie penetracji sieci przez złośliwe oprogramowanie,
• wykrywanie rozprzestrzeniania się zagrożeń wewnętrznych,
• reagowanie na anomalie w czasie rzeczywistym (np. dynamicznie generowane nazwy domeny lub nietypowa aktywność AD),
• wykrywanie nieprawidłowości związanych z zachowaniem urządzeń (np. nietypowy dostęp do komputera, nietypowa aktywność w sieci),
• namierzanie sieci botnet lub działania CnC (np. wysyłania sygnałów przez złośliwe oprogramowanie - malware beaconing).

Integracja z innymi rozwiązaniami Splunk

Rozwiązania typu UBA najlepsze efekty dają współpracując z rozwiązaniem typu SIEM, dlatego Splunk UBA ściśle integruje się z rozwiązaniami Splunk Enterprise oraz Splunk Enterprise Security zapewniając m.in.:

• skuteczne wykrywanie zagrożeń i efektywne wdrożenie metod obrony zgodnie z modelem „kill chain”,
• możliwość wykorzystania dodatkowych narzędzi do analizy danych w postaci uczenia maszynowego, profilowania statystycznego oraz zaawansowanych technik wykrywania anomalii.