Splunk a acquis en juillet dernier la société Caspida, spécialiste de l’analyse comportementale basé sur le machine learning. Ce rachat donne naissance à « Splunk User Behavior Analytics » depuis fin octobre.

splunk

Le machine learning est un algorithme d’apprentissage qui se base sur des données existantes afin d’en apprendre des règles puis les appliquer sur de nouvelles données. Splunk User Behavior Analytics est une solution prête à l’emploi permettant aux organisations de repérer les menaces connues, inconnues et dissimulées à l’aide de la modélisation de données, à l’apprentissage automatique, à la création de comportements de référence, et à des corrélations avancées. Les résultats présentés comportent des cotes de risques ainsi que des preuves permettant aux analystes et aux responsables de la sécurité d’agir rapidement.

Les principales fonctionnalités:

  • Détection des menaces basé sur le comportement
  • Détection et découverte des processus et vecteurs d’attaques
  • Auto-apprentissage (machine learning)
  • Etude et analyse des menaces
  • Workflow de gestion des menaces

Détection de cyberattaques:

  • Piratage de compte – compromission de compte régulier ou à privilèges par des entités externes
  • Lateral Movement – propagation d’un malware au sein d’un réseau
  • Command and Control Activity – communication periodique avec une infrastructure CnC
  • Vol de données – données privées, confidentielles et sensibles d’une organisation par un malware ou un attaquant
  • Browser Exploits and Malware Activity – menaces persistantes avancés et attaques polymorphiques

Détection d’attaques internes:

  • Utilisation abusive de comptes a privilèges – usage inapproprié des accès d’un compte à privilèges
  • Escalade de privilèges – Transformation des identifiants d’accès d’une identité
  • Vol de données – données privées, confidentielles et sensibles d’une organisation par un malware ou un attaquant
  • Activité anormal – accès à des domaines externes, accès à distance à des données sensibles, authentification inhabituelle
  • Compromission d’identifiant – prise de controle furtive des comptes à des fins malveillantes

Sources:

Vincent

Consultant sécurité