
În orice organizație, un utilizator poate accesa numeroase dispozitive și aplicații, dar nu întotdeauna cu același nume de utilizator sau acreditări. Dispozitivele și aplicațiile utilizează registre de utilizatori specifice platformei, care sunt distincte între ele. Ca rezultat, organizațiile pot ajunge să monitorizeze cinci identități de utilizatori de la cinci dispozitive în mod separat, în timp ce ele aparțin de fapt unui singur utilizator.
Tabela de mai jos arată un utilizator, Michael Bay, folosind identități de utilizator diferite pentru a se autentifica și a accesa diverse dispozitive și aplicații.

Pentru întreprinderi, aceasta reprezintă o problemă administrativă uriașă care poate traduce ușor într-o problemă de securitate. Aceasta se datorează faptului că, în timpul detectării anomaliei, soluția de securitate poate găsi dificultăți în atribuirea acțiunilor individuale din aplicații ca activitatea unui utilizator anume
Funcționalitatea de mapare a identității utilizatorului (UIM) din Log360 UEBA leagă toate aceste registre distincte de utilizatori cu un registru de bază, precum Active Directory. Acest lucru va ajuta Log360 UEBA să determine activitatea unui singur utilizator în mai multe domenii și să coreleze aceste activități pentru a identifica anomalii. Scorurile ulterioare de risc ale utilizatorului devin mai precise, deoarece toate identitățile utilizatorului în rețea sunt sincronizate împreună.
Cum sunt mapate identitățile utilizatorilor?
Utilizatorii sunt mapați în întreaga rețea folosindu-și contul AD ca bază, sau contul sursă. Administratorii pot crea reguli de mapare specificând care dintre atributele contului utilizatorului sursă și atributele contului destinație trebuie să se potrivească. Atributul sursă este o valoare din datele AD ale utilizatorului (de exemplu, SAMAccount_Name). Atributul destinație poate fi orice valoare de câmp în contul destinație (de exemplu, câmpul Nume utilizator al serverului SQL).

Figura 1: Crearea unei noi mapări pentru a conecta conturile de utilizator
Log360 UEBA va căuta apoi conturile de utilizatori SQL care îndeplinesc acest criteriu și le va mapea la contul AD al utilizatorului. Similar, poate fi creată o mapare cu Windows ca cont destinație și specificând atributul destinație care va fi același cu atributul sursă (Nume cont SAM al contului AD). Administratorii pot revizui aceste mapări identificate de Log360 UEBA și le pot verifica. Conturile individuale ale utilizatorilor (Windows și SQL) sunt astfel mapate cu AD, iar toate anomalii asociate utilizatorului din surse pot fi vizualizate în tabloul de bord.
Maparea identității utilizatorului în prim plan
Michael va avea o singură reprezentare pe tabloul de bord al scorului de risc al utilizatorului odată ce toate conturile sale, inclusiv cele de la Windows, SQL Server și alte platforme, sunt mapate la contul său AD. Tabloul de bord colectează toate anomalii din diferite platforme și generează un scor de risc corespunzător pentru el.

Figura 2 ilustrează tabloul de bord al scorului de risc al utilizatorului împreună cu anomalii contribuitoare din activitatea Windows și a serverului SQL.
21.07.2023
Autor: Mihai Badea
Categorii: Articol Știri