Как расследовать DLP-инцидент

23.07.2019

 

Предотвращение потери данных (DLP) - это набор инструментов и процессов, используемых для защиты целостности деловой информации. С помощью данного инструмента все данные классифицируются для  предотвращения утечки чувствительной и секретной информации от конечных пользователей за пределы корпоративной. 

 Термин DLP чаще всего используется для обозначения инструментов, которые позволяют сетевому администратору отслеживать данные, к которым получают доступ делятся конечные пользователи.

 Решения DLP контролируют взаимодействие с данными и защищают компании от известных моделей угроз. Однако продвинутые инсайдеры могут действовать так, чтоб не соответствовать ни одному из известных шаблонов безопасности и не быть зафиксированными статическими правилами безопасности DLP. 

 Современный SIEM инструмент, созданный с использованием технологии поведенческого анализа, такой как Exabeam Advanced Analytics, способен легко обнаруживать попытки эксфильтрации данных при известных или неизвестных инсайд атаках. Это достигается путем создания базовых показателей для нормального поведения пользователя и объекта, а затем выявления высокого риска и аномальной активности, которая отличается от нормального поведения при проведении инсайдерской атаки.

 В этом видео моделируется расследование по предупреждению инцидента DLP в устаревшем инструменте SIEM с использованием журналов, собранных в Exabeam Data Lake, а затем сравниваем его с современным подходом SIEM с использованием Exabeam Advanced Analytics для выполнения того же расследования. Ключевые преимущества расследования DLP с помощью Exabeam Advanced Analytics включают в себя:

  • Повышение производительности аналитиков благодаря использованию приоритетных оповещений DLP, которые сосредоточены на оповещениях и демонстрируют высокую степень аномальной активности пользователя или машины
  • Сокращение времени, необходимого для расследования предупреждений DLP с использованием умных временных шкал Exabeam, которые автоматически объединяют как нормальное, так и ненормальное поведение в машинные временные графики инцидентов

 Посмотрите видео для пошагового ознакомления с расследованием инцидента DLP с использованием современного SIEM.