Privileged Account Analytics

Teil Ihrer Privileged Access Management Lösung

Priveleged Account Analytics (PAA) integriert Daten aus unserem Privileged Session Management (PSM) Modul sowie gegebenenfalls aus einer Anzahl von Logs und weiterer kontextueller Datenquellen. 13 Algorithmen nehmen 17 Verhaltenscharakteristiken unter die Lupe. Dabei werden für jeden einzelnen privilegierten User Verhaltensprofile erstellt, die mit Hilfe von maschinellen Lernverfahren kontinuierlich aktualisiert werden.

Erkennung von Bedrohungen in Echtzeit

Nutzeraktivitäten können ohne vordefinierte Korrelations-Regeln in Echtzeit mitverfolgt und visualisiert werden.

Unterscheidung von Freund und Feind

Beziehen Sie Tastatur-Bedienungs- und Maus-Bewegungsdaten ein, um Bedrohungen zu erkennen und eine kontinuierliche Authentisierung der legitimen User umzusetzen.

Anzahl der Warnmeldungen reduzieren

Priorisieren Sie Events auf Basis von Nutzer Risiko- und Abweichungs-Schwellen. Fokussieren Sie Ihre Untersuchungen auf die wichtigsten Vorfälle.

Benachrichtigen oder Unterbrechen

Unterbrechen Sie automatisch Sitzungen, die auf schädliche Absichten hindeuten und informieren Sie die legitimen Nutzer über den potentiellen Sicherheitsvorfall.

Mindern Sie die von privilegierten Konten ausgehenden Risiken
Kontaktieren Sie uns

ECHTZEIT-MONITORING

Durch die Verwendung von Echtzeit Daten, die von maschinellen Lernverfahren kommen, fertigt PAA ein Profil von jedem User an, der Zugang zu Ihrem Netzwerk hat. PAA vergleicht dabei kontinuierlich aktuelle Aktivitäten mit dem Standardverhalten. So werden auffällige Aktionen in Echtzeit entdeckt und Analysten in die Lage versetzt, umgehend zu handeln.

  • Echtzeit-Analyse

    Kein vorheriges Beenden der Sitzung erforderlich

  • Ständige Updates

    Ergebnisse werden kontinuierlich innerhalb von Sekunden aktualisiert

  • Schnelle Erkennung

    Anomalien werden innerhalb von 30 Sekunden erkannt

  • Passen Sie die Baseline individuell an

    Regeln Sie die Häufigkeit der Anpassung Standartverhaltens (Baseline)

AUTOMATISIERTE AKTIONEN

Schwerwiegende Vorfälle werden oft durch eine längere Aufklärungs-/Spionage Phase eingeleitet. Deshalb kommen Erkennung und Reaktion eine besondere Bedeutung bei der Verhinderung von schädlichen Aktivitäten zu. Eine lückenlose Integration mit PSM ermöglicht die automatische Abschaltung einer Session sobald ein hochverdächtiger Vorfall autritt oder bösartiges Verhalten entdeckt wird. Folgende automatische Reaktionen sind möglich:

  • Sofortige Benachrichtigung

    An den Security Analysten oder den Inhaber des Nutzerkontos

  • Terminierung der Sitzung

    Unterbrechung einer privilegierten User Session, bevor Ihr Netz bedroht wird

  • Abschalten eines Nutzerkontos

    Beseitigen eines möglicherweise bösartigen Kontos aus der IT-Umgebung

VERHALTENSBIOMETRIE

Jeder Benutzer hat ein eigenes individuelles Verhaltensmuster, selbst bei identischen Aktionen sind Tastatureingaben oder Mausbewegung verschieden.
PAA Algorithmen überprüfen diese Muster, nachdem sie durch die PSM Lösung von Balabit erfasst wurden, um Sicherheitsverletzungen zu identifizieren und dienen somit als kontinuierliche, biometrische Authentifizierung.
Die untersuchten Merkmale sind:

  • Tippverhalten

    Einschließlich Verweildauer, Bewegungszeit, Nutzung von Fuktionstasten und Tastendruckdauer.

  • Mausbewegung

    Einschließlich Positionswechel der Maus, Geschwindigkeit und Leerlaufzeit zwischen den Bewegungen sowie die Zeit zwischen Klicks und Doppelklicks.

RISIKOBEWERTUNG

PAA kategorisiert alle privilegierten Kontoaktivitäten und -ereignisse auf Grundlage verschiedener Stufen von Risiken und Abweichungen, sodass sich Sicherheitsanalysten auf die wichtigsten Events konzentrieren können. Es werden Ereignisse hervorgehoben, bei denen das klassifizierte Niveau hoch ist, und gibt Analysten zugleich die Werkzeuge zu deren Untersuchung. Es werden 17 Merkmale betrachtet, unter anderem:

  • Login-Zeit und Host

  • Art und Dauer der Aktivität

  • IP-Adresse und Port

  • Protokoll

ANALYSE DES BILDSCHIRMINHALTES

Die Texterkennungskomponente (OCR Optical Character Recognition) der PSM erkennt den Bildschirminhalt privilegierter Benutzer (einschließlich Fenstertitel, verwendeter Anwendungen oder ausgegebener Befehle), liest ihn aus und reichert damit die Verhaltensprofile an. Diese Analyse der Bildschirminhalte erleichtert die Erkennung von Identitätsdiebstählen.

  • Verbotene oder schädliche Befehle

  • Alle eingegebenen Befehle zur Erstellung einer Basline

  • Fenstertitel / verwendete Anwendungen

Privileged Access Management geht über die passwortbasierte Authentifizierung hinaus, um Ihr Unternehmen vor Missbrauch privilegierter Zugriffe zu schützen. Die PAA-Komponente verwendet Daten vom PSM, mit denen Sie das Verhalten privilegierter Nutzer anhand vordefinierter, ständig aktualisierter Profile überwachen können. Auf diese Weise können Sie Angriffe stoppen, bevor sie passieren.