Les cyberattaquants sont aujourd\u2019hui pass\u00e9s ma\u00eetres dans l\u2019art du camouflage : ils travaillent fort pour faire passer leurs activit\u00e9s malveillantes pour des processus normaux. Ils utilisent des outils l\u00e9gitimes, communiquent avec des serveurs de commande et de contr\u00f4le \u00e0 travers des services publics, et font passer l\u2019ex\u00e9cution de code malveillant pour des actions normales de l\u2019utilisateur. Ce type d\u2019activit\u00e9 est presque invisible pour les solutions de s\u00e9curit\u00e9 traditionnelles. Cependant, il est possible de d\u00e9celer certaines anomalies en analysant le comportement d\u2019utilisateurs sp\u00e9cifiques, de comptes de service ou d\u2019autres entit\u00e9s. Il s\u2019agit du concept de base d\u2019une m\u00e9thode de d\u00e9tection des menaces appel\u00e9e UEBA, abr\u00e9viation d\u2019 \u00ab\u00a0analyse du comportement des utilisateurs et des entit\u00e9s\u00a0\u00bb. C\u2019est exactement ce que nous avons mis en \u0153uvre dans la derni\u00e8re version de notre syst\u00e8me SIEM \u2013 Kaspersky Unified Monitoring and Analysis Platform.<\/p>\n
Par d\u00e9finition<\/a>, l\u2019UEBA est une technologie de cybers\u00e9curit\u00e9 qui d\u00e9tecte les menaces en analysant le comportement des utilisateurs, des appareils, des applications et d\u2019autres objets dans un syst\u00e8me d\u2019information. Bien qu\u2019en principe cette technologie puisse \u00eatre utilis\u00e9e avec n\u2019importe quelle solution de s\u00e9curit\u00e9, nous pensons qu\u2019elle est plus efficace lorsqu\u2019elle est int\u00e9gr\u00e9e \u00e0 une plateforme SIEM. En utilisant le machine learning pour \u00e9tablir une r\u00e9f\u00e9rence normale pour le comportement d\u2019un utilisateur ou d\u2019un objet (qu\u2019il s\u2019agisse d\u2019un ordinateur, d\u2019un service ou d\u2019une autre entit\u00e9), un syst\u00e8me SIEM \u00e9quip\u00e9 de r\u00e8gles de d\u00e9tection de l\u2019UEBA peut analyser les \u00e9carts par rapport \u00e0 un comportement typique. Il est ainsi possible de d\u00e9tecter rapidement les APT, les attaques cibl\u00e9es et les menaces internes.<\/p>\n C\u2019est pourquoi nous avons \u00e9quip\u00e9 notre syst\u00e8me SIEM d\u2019un ensemble de r\u00e8gles UEBA, con\u00e7ues tout particuli\u00e8rement pour d\u00e9tecter les anomalies dans les processus d\u2019authentification, l\u2019activit\u00e9 du r\u00e9seau et l\u2019ex\u00e9cution des processus sur les postes de travail et les serveurs bas\u00e9s sur Windows. Notre syst\u00e8me est ainsi plus apte \u00e0 d\u00e9tecter de nouvelles attaques difficiles \u00e0 rep\u00e9rer \u00e0 l\u2019aide de r\u00e8gles de corr\u00e9lation, de signatures ou d\u2019indicateurs de compromission classiques. Chaque r\u00e8gle du paquet UEBA est bas\u00e9e sur le profilage du comportement des utilisateurs et des objets. Les r\u00e8gles se r\u00e9partissent en deux cat\u00e9gories principales\u00a0:<\/p>\n\n