O mecanismo UBA (User Behavior Analytics) é baseado em IA, inteligência artificial e cria uma linha de base dinâmica baseada na atividade de cada usuário monitorando anomalias. A linha de base será atualizada todos os dias de acordo com as atividades do usuário. Atualmente, monitoramos 3 tipos de anomalias:
- Contagem incomum: se a contagem de atividades de um usuário exceder um limite dinâmico que foi calculado com base no comportamento de atividade anterior dele, um alerta será acionado.
- Tempo Incomum: Com base no tempo de atividade do usuário, um tempo de atividade normal permitido será gerado pelo mecanismo (como uma hora de trabalho dinâmica – baseada em cada usuário, atividade) e qualquer atividade que ocorrer após as horas de atividades normais calculadas serão alertadas.
- Novo acesso a recursos: Se um novo recurso foi acessado (um novo acesso de usuário em um computador, novo controle remoto para um servidor , novo processo executado em um servidor), ele será alertado.
Configurações de UBA
- Após a adição de um domínio. Os dados serão monitorados por 7 dias e o perfil de comportamento normal será gerado.
- Após sete dias de adição do domínio, a geração do perfil de comportamento normal do Analytics ocorrerá todos os dias por volta das 5 hrs e o mecanismo de verificação do Analytics começará a verificar se há atividades incomuns.
- Domínio já adicionado- para o domínio já configurado, os dados desarquivados do último mês serão processados e usando esses dados, o perfil de comportamento normal será gerado no dia seguinte às 5 hrs e o mecanismo de verificação do Analytics começará a verificar atividades incomuns.
- Para saber sobre o status da geração de perfil de comportamento normal: vá para ‘configuration’ -> ‘analytics configuration’
- Para gerar tempo de atividade normal para um mecanismo de análise de host / usuário, é necessário no mínimo 15 dados de hora exclusivos para esse usuário / host
- Para gerar contagem de atividade normal – um dado é suficiente para esse usuário / host
- Mais dados lhe darão mais precisão de previsão
- Para contagem incomum e tempo incomum nos últimos 3 meses, os dados serão usados para geração de perfil de comportamento normal
- Para contagem de atividades incomuns, se a contagem de atividades normais do usuário for <10 ou se o usuário não tiver um comportamento normal, 10 atividades serão usadas como contagem de limite padrão para esse usuário.
- Alguns usuários podem ter todas as 24 horas como atividade normal (com base em seus dados anteriores). Isso significa que o usuário não tem nenhuma hora de atividade normal e não terá tempo de atividade anormais.
Lista de relatórios de anomalias do ADAudit
Relatórios de atividade de logon:
- Volume incomum de falhas de logon.
- Tempo de Atividade de Logon Incomum.
- Host acessado pela primeira vez pelo usuário.
- Volume incomum de falha de logon no host.
- Primeiro acesso remoto no host.
Relatórios de atividades de gerenciamento de usuários:
- Volume Incomum de Atividade de Gerenciamento de Usuários
- Tempo incomum de atividade do usuário
- Volume incomum de bloqueio
- Tempo de Atividade de Bloqueio Incomum
Relatórios de atividade de processo:
- Novo processo no servidor
Relatórios de atividade de arquivos:
- Volume incomum de atividade de falha em arquivo
- Volume Incomum de atividade em Arquivo
- Tempo de atividade de arquivo incomum
- Volume incomum de modificação de arquivo
- Volume incomum de exclusão de arquivo
Exemplo de relatório do analisador de bloqueio de conta
Ferramenta Analisador de Bloqueio de Conta de Usuário do Windows
Conheça o motivo por trás de um bloqueio de conta de usuário / serviço. Selecione os atributos de filtro e adquira as informações detalhadas para um relatório de evento nítido.
Inicie os testes agora mesmo do ADAudit, contando sempre com a equipe ACS Pro sua revendedora ManageEngine no Brasil!
ACS Pro Parceira ManageEngine no Brasil. – Fone / WhatsApp (11) 2626-4653
