Основы анализа поведения пользователей и сущностей для современной безопасности

Большинство инструментов безопасности отслеживают известную вредоносную активность, но растущая доля инцидентов связана с злоупотреблениями со стороны инсайдеров или украденными учетными данными, когда активность выглядит законной. Анализ поведения пользователей и сущностей, часто называемый UEBA, устраняет этот пробел, изучая, как выглядит нормальное поведение для каждого пользователя и сущности, и выявляя отклонения. Этот курс предлагает спокойное, структурированное введение. Вы узнаете, что на самом деле отслеживает UEBA, где оно вписывается в более широкий стек безопасности и как машинное обучение поддерживает обнаружение тонких аномалий. Курс остается основанным на широко используемых концепциях и указывает на современные достижения, формирующие эту область. Что вы узнаете: - Поймете, что отслеживает UEBA, включая пользователей, служебные учетные записи, устройства и другие сущности - Распознаете разницу между обнаружением на основе правил и обнаружением аномалий на основе поведения - Изучите источники данных, используемые UEBA, включая журналы аутентификации, доступа и активности - Прочитаете типичный рабочий процесс от сбора событий до моделирования базовых показателей и оценки аномалий - Определите общие варианты использования, включая угрозы со стороны инсайдеров, компрометацию учетных записей и утечку данных - Поймете точки интеграции между UEBA и системами SIEM, IAM и предотвращения потери данных Курс начинается с пробела, который устраняет UEBA, переходит к его источникам данных, моделированию и вариантам использования, а завершается тем, как он интегрируется в более широкую программу безопасности. Письменные упражнения помогут вам связать каждую концепцию с реалистичным организационным контекстом. Этот курс предназначен для абсолютных новичков без опыта работы с UEBA или машинным обучением, включая аналитиков безопасности, ИТ-администраторов и студентов компьютерных наук. Предварительные требования не требуются. Курс носит информационный характер, объясняет каждую появляющуюся концепцию и уважает реалии эксплуатации систем обнаружения в производственных средах.