21.07.2023

Autor: Matěj Ováry

Kategorie: Články, Novinky

V každé organizaci může mít uživatel přístup k mnoha zařízením a aplikacím, ale ne vždy se stejným uživatelským jménem nebo oprávněním. Zařízení a aplikace používají uživatelské registry specifické pro danou platformu, které se navzájem liší. Může to skončit například tak, že organizace třeba odděleně monitorují na pěti zařízeních pět uživatelských identit, které ve skutečnosti patří jedinému uživateli.

Následující tabulka ukazuje jednoho vybraného uživatele, Michaela Baye, který používá různé uživatelské identity pro přihlášení a přístup k různým zařízením a aplikacím.

Pro podniky tato situace představuje obrovský administrativní problém, který se může snadno stát bezpečnostním problémem. Je to proto, že při detekci anomálií může být pro váš systém zabezpečení obtížné přiřadit jednotlivé akce napříč aplikacemi k činnosti jednoho konkrétního uživatele.

Funkce mapování uživatelských identit (UIM) v Log360 UEBA propojuje všechny tyto odlišné registry uživatelů se základním registrem, jako je Active Directory. To pomůže službě Log360 UEBA určit aktivitu jednoho uživatele ve více doménách a korelovat tyto aktivity za účelem identifikace anomálií. Následné hodnocení uživatelských rizik je přesnější, protože všechny identity uživatele v síti jsou spolu synchronizovány.

Jak probíhá mapování uživatelských identit?

Uživatelé jsou mapováni v síti na základě svého účtu AD neboli zdrojového účtu. Správci mohou vytvářet pravidla mapování tak, že určí, které zdrojové a cílové atributy uživatelského účtu se mají shodovat. Zdrojový atribut je hodnota z údajů AD uživatele (např. SAMnázev_účtu). Cílový atribute může být jakákoli hodnota pole v cílovém účtu (např. pole uživatelského jména serveru SQL).

Obrázek 1: Tvorba nového mapování pro spojování uživatelských účtů

Log360 UEBA pak vyhledá uživatelské účty SQL, které splňují tato kritéria, a namapuje je na AD účet uživatele. Podobně lze vytvořit mapování se systémem Windows jako cílovým účtem a zadáním atributu Cíl, který bude stejný jako atribut Zdroj (Název účtu SAM nebo účet AD). Správci mohou tato mapování identifikovaná nástrojem Log360 UEBA zkontrolovat a ověřit. Tak jsou jednotlivé uživatelské účty (Windows a SQL) mapovány s účtem AD a všechny anomálie spojené s uživatelem napříč zdroji lze zobrazit na ovládacím panelu současně.

Mapování uživatelské identity v praxi

Jakmile budou všechny Michaelovy účty – včetně účtů systému Windows, serveru SQL a dalších platforem – namapovány na jeho účet AD, bude mít Michael na panelu hodnocení rizik uživatelů pouze jedno zastoupení. Na hlavním panelu budou shromážděny všechny anomálie napříč platformami a pro Michaela se vygeneruje příslušné skóre rizika.

 Obrázek 2 znázorňuje panel hodnocení rizik uživatelů spolu s anomáliemi v činnostech systému Windows a serveru SQL, které s těmito riziky souvisí.

 

21.07.2023

Autor: Matěj Ováry

Kategorie: Články Novinky

Matěj Ováry

Matěj Ováry

Business Development Specialist

Newsletter – zůstaňte v obraze!