Safeguard for Privileged Analytics

Regelbasierte Sicherheitsfunktionen können weder neue Angriffsmethoden noch böswillige Betriebsangehörige erkennen. Safeguard for Privileged Analytics verfolgt und stellt die Aktivitäten von Benutzern bildlich in Echtzeit dar und führt so zu einem besserem Verständnis der Vorgänge in Ihrer IT-Umgebung. Es werden keine vordefinierten Korrelationsregeln benötigt. Es funktioniert allein auf der Grundlage der vorhandenen Sitzungsdaten.

Anstatt ein „als bösartig bekanntes" Verhalten mithilfe von Mustererkennung zu ermitteln – was oft versagt – erstellt Safeguard for Privileged Analytics mit Daten aus Ihrer IT-Umgebung ein Profil für „normales“ Verhalten. Diese Daten werden anschließend verwendet, um mithilfe von 13 verschiedenen Algorithmen für maschinelles Lernen Abweichungen zu erkennen.

Durch Bedrohungsanalysen bei privilegiertem Zugriff können Sie den Bildschirminhalt von privilegierten Sitzungen sowie aufgetretene Befehle und Fenstertitel überwachen und analysieren. Safeguard for Privileged Analytics kann das Profil des Grundverhaltens privilegierter Benutzer durch die Feststellung regelmäßig verwendeter Befehle und Anwendungen optimieren. Diese granulare Analyse identifiziert „typisches“ Verhalten und kann zur Erkennung von Diebstahl und Missbrauch privilegierter IDs beitragen.

Jeder Benutzer besitzt ein eigentümliches Verhaltensmuster, sogar beim Ausführen von identischen Aktionen wie Tippen oder Bewegen der Maus. Die in Safeguard for Privileged Analytics eingebauten Algorithmen analysieren diese (von Safeguard for Privileged Sessions erfassten) Verhaltenscharakteristiken. Die Analysen der Tastendruckdynamik und der Mausbewegungen dienen der Identifizierung von Sicherheitsverletzungen sowie der ständigen biometrischen Authentifizierung.

Bedrohungsanalysen bei privilegiertem Zugriff reduzieren das von SIEM-Lösungen (Security Informationen und Event Management) generierte „Warnungsrauschen“ durch Kategorisierung von Benutzerereignissen auf der Grundlage von Risiken und Abweichungen und stellen die verdächtigsten Ereignisse heraus. Warnungen können an SIEMs gesendet werden, oder Ihr Sicherheitsanalytiker kann auf der intuitiven Benutzeroberfläche eine priorisierte Liste von Ereignissen einsehen, sodass das Augenmerk auf die wichtigsten Ereignisse gerichtet werden kann.

In den meisten Angriffsszenarien geht Ereignissen mit großen Auswirkungen oft eine Erkundungsphase voraus. Daher ist Erkennung und Reaktion während dieser Phase entscheidend für das Verhindern der schädlichen Aktivität. Die nahtlose Integration mit Safeguard for Privileged Sessions ermöglicht eine automatische Beendigung von Sitzungen beim Auftreten eines hochverdächtigen Ereignisses oder beim Erkennen eines böswilligen Verhaltens.