Change Auditor Threat Detection
Dígale adiós a los usuarios rebeldes con Change Auditor Threat Detection
Detección proactiva de amenazas de usuarios para entornos Microsoft
Change Auditor Threat Detection ofrece un método exclusivo para detectar amenazas de usuarios mediante el modelado de patrones de comportamiento de cada usuario, con el objetivo de detectar actividades anómalas que podrían indicar la existencia de usuarios sospechosos o cuentas en peligro. Mediante el análisis de la actividad del usuario y el uso de una exclusiva tecnología de aprendizaje avanzado, análisis del comportamiento de usuarios y entidades (UEBA), y sofisticados algoritmos de puntuación, Change Auditor Threat Detection clasifica los usuarios de mayor riesgo en su empresa, identifica posibles amenazas de usuarios y disminuye el ruido de falsas alarmas. Finalmente, podrá dejar atrás las ineficacias de las herramientas de auditoría nativas para que su entorno esté seguro.
Descubra de manera rápida y sencilla amenazas, como:
Exfiltración de los datos
Identifique fácilmente los usuarios o cuentas comprometidos en el intento de robo o destrucción de datos.
Software malicioso
Reconozca rápidamente los intentos de software malicioso de apoderarse de cuentas de usuario y privilegios.
Uso malintencionado de cuentas privilegiadas
Sepa cuándo un programa o script se ha apoderado de las credenciales de usuario.
Ataques de fuerza bruta
Identifique los atacantes al asociar eventos de seguridad repetidos con alertas relacionadas.
Privilegios elevados
Detecte las elevaciones de privilegios incorrectas al resaltar eventos y acciones de usuario relacionadas.
Actividad anormal en AD
Identifique rápidamente las actividades de usuario sospechosas en AD.
Movimiento lateral
Identifique a los atacantes al comparar patrones de comportamiento inusual con las líneas de base de los usuarios.
Acceso indebido al sistema o a los recursos
Envíe alertas a los usuarios que intentan acceder a datos innecesarios.
Change Auditor Threat Detection le permite hacer lo siguiente:
- Detectar, de forma proactiva, amenazas según patrones de comportamiento del usuario
- Disminuir la gran cantidad de alertas inherentes de la detección de amenazas basada en reglas
- Detectar fácilmente cuando un usuario actúa de forma inusual gracias a líneas de base sobre el comportamiento de usuarios
- Ver alertas de seguridad en contexto para determinar la gravedad con rapidez y facilidad
- Identificar amenazas según los datos de auditoría existentes para minimizar el impacto en su infraestructura
Características
Análisis de registros de auditoría en tiempo real
Analice eficientemente un gran volumen de datos de auditoría en tiempo real, como cambios en AD, autenticaciones y actividad de los archivos. Desarrolle líneas de base sobre los usuarios a partir de estos eventos de actividad sin procesar y detecte, de forma proactiva, cuando el comportamiento del usuario parezca inusual para conocer de inmediato las posibles actividades sospechosas.
Análisis automatizado del comportamiento de los usuarios (UEBA)
Realice un modelo de los patrones de actividad de los usuarios sin intervención del administrador ni configuraciones. Las líneas de base del comportamiento de los usuarios se crean automáticamente mediante aprendizaje automático avanzado y no supervisado; en consecuencia, se obtiene un modelo de cada aspecto de la actividad de los usuarios, como patrones de inicio de sesión, actividad administrativa y acceso a archivos o carpetas.
Detección de anomalías sofisticadas en el comportamiento
Identifique actividad inusual del usuario comparando las acciones de cada usuario con la línea de base correspondiente al comportamiento de dicho usuario. Una sofisticada detección de indicador de amenazas y una puntuación de riesgos multinivel garantizan que solo se destaquen las anomalías más llamativas, que representan los comportamientos más peligrosos.
Análisis de usuarios de gran fidelidad
Change Auditor crea los registros de auditoría que se utilizan en el análisis para que todos los datos de eventos sin procesar, que se utilizan para detectar de forma proactiva las amenazas de su entorno, incluyan, de forma inherente, información valiosa como la siguiente:
- La persona que realizó la modificación
- El elemento que se modificó
- El momento de la modificación
- El lugar de la modificación
- La dirección IP o estación de trabajo donde se realizó la modificación
A diferencia de los registros de evento nativos de Windows, Change Auditor se asegura de que no falte ninguna acción importante del usuario; de lo contrario, es posible que aparezcan brechas críticas en el análisis de comportamiento de los usuarios.
Detección de amenazas de usuarios basada en patrones
Las alertas SMART de amenazas de usuarios solo se muestran cuando se detecta un patrón relacionado con el comportamiento inusual de un usuario. En lugar de depender de reglas para detectar ciertas actividades, analice automáticamente toda la actividad del usuario en vivo e identifique los usuarios más sospechosos del entorno a través de una sofisticada detección de patrones del comportamiento. Un sofisticado modelado global garantiza que solo se destaquen los patrones de comportamiento de usuario más críticos y preocupantes; de esta forma, se disminuye el ruido producido por actividades aisladas y falsas alarmas.
Alertas de seguridad en contexto
Aproveche la infraestructura de Change Auditor y los datos de auditoría existentes para realizar un modelo del comportamiento del usuario de modo que no haya necesidad de implementar agentes y servidores adicionales innecesariamente rígidos. La única infraestructura adicional que se necesita para habilitar el análisis avanzado de amenazas de usuario es un solo dispositivo virtual.
Presentación
Panel dinámico
Detección de amenazas proactiva
Líneas de base de comportamientos de usuarios
Detección de anomalías
Detección basada en patrones
Alertas en contexto
Prioridad de alertas automatizadas
Investigación acelerada
Especificaciones
Se debe contar con ciertos requisitos del sistema para el coordinador de Change Auditor (del extremo del servidor), el cliente de Change Auditor (del extremo del cliente), el agente de Change Auditor (del extremo del servidor), y la estación de trabajo y el cliente web de Change Auditor (componentes adicionales). Para obtener una lista completa de los requisitos del sistema y los permisos requeridos para todos los componentes y sistemas de destino que pueden auditarse mediante Change Auditor, consulte la Guía de instalación de Change Auditor.
El coordinador de Change Auditor es responsable de cumplir con las solicitudes del cliente y del agente, y de generar alertas.
- Procesador
Intel® Core™ i7 de cuatro núcleos (similar o superior)
- Memoria
Mínima: 8 GB de RAM o superior
Recomendada: 32 GB de RAM o superior
- SQL Server
Bases de datos SQL que tienen soporte hasta las siguientes versiones:
- Microsoft SQL Server 2008 R2 SP3
- Microsoft SQL Server 2012 SP4
- Microsoft SQL Server 2014 SP2
- Microsoft SQL Server 2016 SP2
- Microsoft SQL Server 2017
NOTA: Change Auditor es compatible con SQL AlwaysOn Availability Groups y SQL Clusters.
- Sistema operativo
Plataformas de instalación (x64) que cuentan con soporte hasta las siguientes versiones:
- Servidor de Windows 2008 R2 SP1
- Windows Server 2012
- Servidor de Windows 2012 R2
- Windows Server 2016
- Windows Server 2019
NOTA: Se debe habilitar Microsoft Windows Data Access Components (MDAC). (MDAC es parte del sistema operativo y está habilitado de manera predeterminada).
- Software y configuración del coordinador
Para obtener el mejor rendimiento, recomendamos encarecidamente lo siguiente:
- Instale el coordinador de Change Auditor en un servidor miembro dedicado.
- La base de datos de Change Auditor debe configurarse en una instancia de SQL Server dedicada e independiente.
NOTA: NO asigne previamente un tamaño fijo para la base de datos de Change Auditor.
Además, se requiere el siguiente software o la siguiente configuración:
- El coordinador debe tener conectividad LDAP y GC con todas las controladoras de dominio en el dominio local y el dominio raíz del bosque.
- Versión x64 de Microsoft .NET 4.6.1
- Versión x64 de Microsoft XML Parser (MSXML) 6.0
- Versión x64 de Microsoft SQLXML 4.0
- Espacio del coordinador
- Estimación de espacio de disco duro utilizado: 1 GB
- El uso de la memoria RAM del coordinador es altamente dependiente del entorno, la cantidad de conexiones del agente y el volumen del evento.
- El tamaño estimado de la base de datos varía en función de la cantidad de agentes implementados y eventos capturados auditados.
El servidor de Change Auditor Threat Detection es un dispositivo virtual que se ocupa de analizar los registros de auditoría de Change Auditor y detectar patrones de comportamiento sospechoso de los usuarios. Para obtener más información sobre la implementación del dispositivo virtual, consulte la Guía de implementación de Change Auditor Threat Detection.
Implementación en Microsoft Hyper-V
- Host de Hyper-V que se ejecuta en Windows Server 2016
- Requisitos del servidor de Threat Detection:
- Tamaño de la plantilla: 10 GB aproximadamente
- CPU: 8 o 16 núcleos de 2,3 GHz (mínimo) o 2,4 GHz (recomendado).
- RAM: 64 GB
- E/S: 500 MB/s
- Disco: SAS 320 GB, SAS 930 GB
Implementación en VMWare ESX
- Versión 5.5 de VMWare ESXI y superior, que es administrada por VMware Vcenter 5.5 y superior
- Se admiten los siguientes clientes de vSphere:
- Con ESX 5.5, vSphere Windows.
- Con ESX 6.0, vSphere Flash.
- Con ESX 6.5, vSphere Flex, vSphere HTML5.
- Edición empresarial de OVA de tamaño pequeño y mediano:
- Tamaño del archivo de OVA: 10 GB aproximadamente
- CPU: 8 núcleos de 2,3 GHz (mínimo) o 2,4 GHz (recomendado)
- RAM: 64 GB
- E/S: 500 MB/s
- Disco: SAS 320 GB, SAS 930 GB
- Edición empresarial de OVA de tamaño grande:
- Tamaño del archivo de OVA: 10 GB aproximadamente
- CPU: 16 núcleos de 2,3 GHz (mínimo) o 2,4 GHz (recomendado)
- RAM: 64 GB
- E/S: 500 MB/s
- Disco: SAS 320 GB, SAS 930 GB
Recursos
Change Auditor Threat Detection
Detección proactiva de amenazas basadas en el comportamiento de los usuarios para entornos Microsoft
Tackling insider threat detection with user behavior analytics
Review challenges detecting an insider threat, benefits and limitations of rule-based tools and explore user behavior analytics threat detection solutions
How to Spot Insider Threats Before They Wreak Havoc
Change Auditor Threat Detection distills AD audit data down to a manageable number of SMART alerts and highlights the riskiest users through pattern-based
Inside Change Auditor Threat Detection
Identify insider threats with advanced machine learning, user and entity behavioral analytics (UEBA), and SMART correlation technology to stop data breach
Introducing Change Auditor Threat Detection
Be proactive about detecting potential insider threats and anomalous activity by modeling user behavior through unsupervised machine learning.
Three ways a privileged user can hose your Active Directory
This eBook reviews insider threats and eight AD security best practices to reduce risk and recovery time.
LAS NUEVE MEJORES PRÁCTICAS DE SEGURIDAD DE ACTIVE DIRECTORY
En este libro electrónico, se realiza un estudio detallado de una amenaza interna de AD y se detallan las mejores estrategias de defensa.
How to Mitigate the Insider Threat
This eBook provides solutions to stop insider threats, manage privileged accounts, simplify GPO management and administration.
- Más recursos
- Comunidades
- Videos
Dé el próximo paso.
Productos relacionados
Change Auditor for Active Directory
Realice rápidamente un seguimiento y corrobore los cambios o las modificaciones diarias del sistema.
Change Auditor for Logon Activity
Obtenga respuestas a preguntas de seguridad y de cumplimiento críticas
Change Auditor for Windows File Servers
Realice un seguimiento, audite y reciba los informes de todos los cambios del sistema de Windows File Server en tiempo real.
Change Auditor for NetApp
Audite todos los eventos relacionados con la actividad del archivo y los permisos de sus dispositivos NAS NetApp.
Change Auditor for EMC
Audite todos los eventos relacionados con la actividad del archivo y los permisos de sus dispositivos NAS EMC.
Change Auditor for Fluid FS
Audite todos los eventos relacionados con la actividad de archivo y los permisos de sus dispositivos NAS FluidFS.