Ваша організація збирає та генерує надзвичайну кількість даних з різних джерел. Перш ніж аналізувати ці дані, їх потрібно нормалізувати та збагатити, щоб уможливити ефективний пошук та машинний аналіз. Без успішної підготовки даних для аналізу ваше рішення UEBA неминуче міститиме “сліпі зони”, створюючи помилкові спрацьовування, пропускаючи важливі дії, або, що ще гірше, створюючи помилкові спрацьовування, неправильно характеризуючи нешкідливі аномалії як загрози.
Обробка даних починається з розбору машинних даних на поля метаданих, спеціально структуровані для аналітики безпеки. Застосування єдиної схеми до оброблюваних даних є ключовим моментом для UEBA. При уважному розгляді можна виявити значну різницю між потужністю цих можливостей у різних рішеннях. Наприклад, при повідомленні про зміну дозволів іншого користувача адміністратором, схема повинна бути здатна відрізнити адміністратора від користувача, на якого це вплинуло. Нормалізація даних підвищує точність аналізованих даних шляхом коригування значень на основі відомих відхилень.
Збагачення даних містить процес додавання метаданих, отриманих з логу, з додатковими контекстними даними для більш ефективного аналізу. Нижче наведено кілька прикладів збагачення даних.
- Використання геолокації для перетворення IP-адреси на передбачуване місцезнаходження
- Декодування кодів логу в змістовну та діагностичну класифікацію постачальників (наприклад, Windows Event ID 4624 = успішний вхід в обліковий запис).
