Вышла новая версия Security Vision UEBA с расширенным набором ML-моделей

Вышла новая версия Security Vision UEBA с расширенным набором ML-моделей

Вышла новая версия Security Vision UEBA с расширенным набором ML-моделей

Продукт Security Vision UEBA автоматически выстраивает типовые модели поведения объектов инфраструктуры (пользователей, учетных записей, устройств, процессов и др.), анализируя сырые потоки данных (сетевой трафик, логи прокси-серверов, почтовых серверов, windows/linux серверов и рабочих станций и др.), выявляет отклонения и предоставляет гибкие инструменты по их анализу, расследованию и реагированию. Наиболее значимые обновления:

Anomaly Detection

Применение методов Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.

ML-модели

В новой версии Security Vision UEBA существенного расширен набор используемых ML-моделей. Применяются следующие модели:

  • «с учителем» для выявления похожих паттернов реальных атак (предобученные на различных атаках и вредоносных активностях (DDOS, botnet, C&C и др.)),
  • модели «без учителя» для нахождения аномалий среди сетевого трафика и событий с хостов, нейросети (в т.ч.  RNN),
  • модели для обнаружения мимикрирующих процессов
  • и др.

Важно отметить, что обработка всех моделей выполняется на инфраструктуре Заказчика без необходимости отправки каких-либо данных «в облако». За счет оптимизаций архитектуры и самих моделей требования к инфраструктуре минимизированы и не требуют специализированного оборудования.

Продукт позволяет проводить гибкую настройку всех параметров ML-моделей через UI, а также добавлять собственные модели.

Минимизация false-positive сработок

Особый упор сделан на оркестрации работы ML-моделей и минимизации false-positive (FP) сработок. Разработаны механизмы автоматического контроля работы и отключения моделей в случае большого количества сработок FP. Также Security Vision UEBA автоматически и регулярно переобучает модели на данных Заказчика для лучшей адаптации к инфраструктуре, потокам данных и их изменениям. Переобучаются также и модели «с учителем», где используемые датасеты типовых атак и вредоносных активностей автоматически объединяются и «растягиваются» на данные по инфраструктуре Заказчика, полученные из обработанных событий. Реализован автоматический подбор параметров модели: Security Vision UEBA в процессе обучения сама подбирает гиперпараметры для достижения лучшего результата сработок и минимизации количества FP.

Статистические методы дают возможность автоматически накапливать статистику по новым параметрам, объемным, частотным и количественным показателям по используемым хостам, процессам, командным строкам, именованным пайпам и многим другим характеристикам отдельно по каждому объекту наблюдения, что также существенно снижает уровень FP сработок и позволяет пользователю через UI гибко настраивать веса, добавлять или корректировать имеющиеся правила.

Правила корреляции

Расширен базовый набор правил корреляции, входящих в состав коробочного решения. Экспертами Security Vision были разработаны уникальные правила корреляции, позволяющие находить подозрительные действия в потоках сетевого трафика/потоков прокси серверов, а также выявлять подозрительные события на хостах. Данные алерты объединяются вместе со сработками движков статистики и ML, что в итоге позволяет собрать более полный анализ действий подозрительного объекта, учесть каждую сработку правила корреляции со своим уникальным весом (в зависимости от критичности), который будет суммирован с весом событий от других источников наблюдения и в случае превышения порогового значения может привести к созданию инцидента.

Также в Security Vision UEBA встроен полноценный редактор правил корреляции, используя который, можно настраивать правила любой глубины и сложности через UI продукта.  

Отображение объектов и сработок

Переработано отображение всех объектов и сработок для предоставления более полного и удобного функционала анализа и расследования полученных инцидентов: графы связей объектов, автоматическое обогащение данными из внешних и внутренних сервисов, drill-down до каждого связного объекта, исходные события по объекту с указанием источника и всех атрибутов, динамика поступления событий и др. В Security Vision UEBA встроены действия по базовому реагированию на полученные инциденты (например, с NGFW, active-листами и т.п.) или для отправки инцидентов в SOAR и SIEM системы.

Используя API продукта, можно гибко настраивать получение сработок по объектам, получать подозрительные события и алерты по каждому объекту (например, для обогащения этой информацией инцидентов в SOAR).

Расширение возможностей

Продукт Security Vision UEBA реализован на платформе Security Vision 5, что позволяет Заказчикам расширять его возможности, создавая как новые объекты наблюдения (включая их карточки, общие представления, процессы обработки и сценарии реагирования), корректировать или расширять процесс обработки выявленных сработок, создавать новые интеграции, корректировать и создавать дашборды и отчеты – все полностью через графические конструкторы, встроенные в UI продукта.

Microsoft чинит кошмар переустановки Windows — пропавшие драйверы

Переустановка Windows наконец может стать чуть меньше похожей на танцы с бубном. Microsoft представила функцию Cloud rebuild, которая должна переустанавливать не только саму Windows, но и драйверы устройства через Windows Update.

Идея такая: пользователь сбрасывает компьютер, а система подтягивает целевой образ Windows и нужные драйверы из облака.

Сейчас свежая установка Windows часто превращается в отдельный вид страдания. Нужно понять, каких драйверов не хватает, где их скачать, что поставить первым, а что лучше вообще не трогать. Особенно весело становится, если в игру вступают видеодрайверы NVIDIA, которые умеют подарить пользователю вечер неожиданных приключений.

Cloud rebuild пока доступна участникам программы Windows Insider, начиная с Experimental Preview Build 26300.8772. В Microsoft планируют постепенно вывести функцию на более широкую аудиторию в ближайшие месяцы, если планы не изменятся.

 

Запустить новый режим можно из среды восстановления Windows. Для этого нужно открыть WinRE, выбрать Troubleshoot → Recovery and uninstall → Cloud rebuild, подключиться к интернету по Ethernet или Wi-Fi, проверить версию, редакцию и язык Windows, а затем подтвердить предупреждение о потере данных.

Полностью все проблемы функция, конечно, не решает. Для Cloud rebuild всё равно нужен интернет, но если подключение есть, пользователю больше не придётся вручную охотиться за каждым драйвером и надеяться, что после установки система не устроит сюрприз.

Участники Windows Insider уже могут попробовать Cloud rebuild и отправить отзывы через Feedback Hub. Если всё сработает как задумано, переустановка Windows станет наконец не наказанием, а просто технической процедурой.

RSS: Новости на портале Anti-Malware.ru