Analytique du comportement utilisateur : Meilleures pratiques à adopter dès maintenant

Combien connaissez-vous sur User Behavior Analytics (UBA), solution émergente qui aide à détecter les activités malveillantes et abusives internes croissantes à travers l'environnement informatique qui pourraient sinon passer inaperçues ?

Cet article détaille les principaux défis pour protéger les actifs les plus critiques au sein de votre infrastructure informatique et offre les meilleures pratiques pour une mise en œuvre réussie de UBA.

Défis pour sécuriser l'environnement informatique moderne :

• Les entreprises manquent de visibilité sur l'activité des employés et l'utilisation des applications à travers les systèmes informatiques critiques. Découvrez nos infographies récentes sur l'IT fantôme.
• Les stratégies de défense traditionnelles sont généralement axées sur le périmètre, de sorte qu'elles ne parviennent pas à identifier les menaces internes ou les attaques en cours à l'intérieur du réseau.
• Les équipes de sécurité sont souvent débordées par l'énorme volume de journaux d'audit générés chaque jour, augmentant le risque que des actions importantes puissent être manquées.
• La plupart des applications de sécurité héritées, telles que les solutions SIEM, prennent beaucoup de temps à utiliser.

Meilleures pratiques :

1. Identifiez les sources existantes de données sur le comportement des utilisateurs, y compris les journaux, les entrepôts de données, les données de flux réseau, etc. Plus vous avez de données, mieux c'est.

2. Intégrez des données provenant d'autres systèmes de surveillance, tels que la gestion avancée des menaces et les systèmes de gestion de la relation client (CRM).

3. Activez l'Active Directory Reporting pour suivre qui fait quoi à travers vos systèmes critiques.

4. Activez l'audit pour tous les systèmes contenant des informations sensibles, y compris vos serveurs de fichiers, SharePoint, serveurs SQL, etc.

5. Si vous utilisez des applications SaaS, activez la journalisation de l'accès et de l'activité des utilisateurs.

6. Suivez la création de comptes et les connexions, car ces activités peuvent révéler des prises de contrôle de comptes et d'autres attaques.

7. Activez la journalisation sur votre serveur de messagerie et utilisez un logiciel d'e-discovery pour l'analyse du flux d'e-mails.

8. Examinez régulièrement les permissions effectives et appliquez un modèle de moindre privilège.

9. Suivez et contrôlez le trafic Internet de vos utilisateurs grâce à un logiciel de filtrage web.

10. Fournissez à votre solution UBA toutes les données mentionnées ci-dessus. Ajustez ses règles, alertes, rapports et seuils pour réduire les bruits et les anomalies de faux positifs.

11. Examinez régulièrement les rapports UBA sur les activités anormales et enquêtez rapidement sur les incidents.

Cette fonctionnalité d'security analytics vous aide à découvrir les menaces susceptibles de compromettre votre environnement informatique hybride, afin que vous puissiez protéger les actifs les plus importants.

Dans notre numéro de juillet de SysAdmin Magazine, nos experts donnent les meilleures pratiques pour les professionnels de l'IT afin de détecter le danger potentiel de la menace interne. Vous pouvez le télécharger ici gratuitement.