QRadar UBA: Deteção e Análise de Anomalias Comportamentais de Segurança em Utilizadores
Autor(a) principal: | |
---|---|
Data de Publicação: | 2020 |
Tipo de documento: | Dissertação |
Idioma: | por |
Título da fonte: | Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
Texto Completo: | http://hdl.handle.net/10451/48314 |
Resumo: | Trabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020 |
id |
RCAP_5bd9937874a2da878007768921aeb179 |
---|---|
oai_identifier_str |
oai:repositorio.ul.pt:10451/48314 |
network_acronym_str |
RCAP |
network_name_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository_id_str |
7160 |
spelling |
QRadar UBA: Deteção e Análise de Anomalias Comportamentais de Segurança em UtilizadoresAmeaça InternaComportamentoDeteção de AnomaliasUEBAIBM QRadarMachine LearningTrabalhos de projeto de mestrado - 2020Departamento de InformáticaTrabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020Presentemente, vivemos num ambiente cada vez mais digital, onde as ameaças e ataques informáticos são uma constante. Com a crescente sofisticação dos ataques, e capacidade de reinvenção dos atacantes, emerge a necessidade de exploração de novos mecanismos e técnicas que visem uma deteção mais precoce e precisa. Mais ainda quando até os utilizadores que consideramos confiáveis, se podem traduzir numa ameaça interna. Neste contexto, a existência de ferramentas de User and Entity Behavior Analytics (UEBA) vem procurar responder a esta necessidade. Estas permitem construir um perfil de comportamento base por entidade e, assim, detetar qualquer desvio das suas atuais atividades, atribuindo um dado valor de risco. Este projeto tem como objetivo provar a capacidade de deteção e análise de anomalias comportamentais dos utilizadores de uma grande organização, com impacto na cibersegurança dessa mesma organização, em tempo quase real. Para tal, far-se-á uso da plataforma IBM QRadar utilizada pelo Cy ber Security Operations Center (CSOC) da Altice Portugal e, mais especificamente, a aplicação UBA, recorrendo às funcionalidades de Machine Learning por esta disponibilizadas. Para alcançar o objetivo proposto, foi definida, primariamente, uma lista de casos de uso que en dereçam as principais preocupações ao nível das possíveis ameaças internas, nomeadamente no que se refere ao possível abuso de credenciais e à existência de discrepâncias tempo-espaciais. Posteriormente, foram validadas quais as fontes que contribuem com os dados necessários para a monitorização dos casos de uso anteriormente identificados. Este projeto torna possível produzir uma análise técnica crítica à aplicação UBA da plataforma IBM QRadar, no que respeita à deteção e análise de casos de uso concretos relevantes para a gestão da cibersegurança da Altice Portugal, nas áreas dependentes do comportamento dos seus utilizadores. Para mais, permite também avaliar o desempenho desta aplicação, sem comprometer o atual normal funcionamento da referida plataforma IBM QRadar.Nowadays, we live in an increasingly digital environment, where the threats and cyber attacks are always present. Considering the increasing attack sophistication and attacker reinvention capability, there is a need to explore new mechanisms and techniques for an earlier and more accurate detection, specially when users we find reliable can become an insider threat. In this context, tools like User and Entity Behavior Analytics (UEBA) come to give an answer to this concern. These tools allow you to build a baselining behavior profile by entity and, thus, any deviation from your current activities can be detected and a given risk value is assigned to that deviation. This project aims to prove the ability to detect and analyze behavioral anomalies of users of a large organization, impacting in cyber security of that same organization, in near real time, making use of IBM QRadar used by the Cyber Security Operations Center (CSOC) of Altice Portugal, in particular the UBA App with its Machine Learning capabilities. In order to achieve the proposed objective, a list of use cases has been defined, primarily, addressing the main concerns regarding possible insider threats, namely regarding the possible abuse of credentials and the existence of time-space discrepancies. Subsequently, the data sources that provide the essential data for monitoring the previously identified use cases were validated. This project makes it possible to produce a critical technical analysis of the UBA App from IBM QRadar platform, as regards the detection and analysis of concrete use cases relevant to Altice Portugal’s cybersecurity management, in areas dependent on the behavior of its users. Moreover, it also allows the evaluation of the performance of this application, in a way that it does not compromise the current normal operation of the IBM QRadar platform.Ferreira, Pedro Miguel Frazão FernandesRepositório da Universidade de LisboaFilipe, João Guilherme Cercas2021-06-04T10:12:24Z202020202020-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/48314TID:202606198porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:51:40Zoai:repositorio.ul.pt:10451/48314Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T22:00:14.213572Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse |
dc.title.none.fl_str_mv |
QRadar UBA: Deteção e Análise de Anomalias Comportamentais de Segurança em Utilizadores |
title |
QRadar UBA: Deteção e Análise de Anomalias Comportamentais de Segurança em Utilizadores |
spellingShingle |
QRadar UBA: Deteção e Análise de Anomalias Comportamentais de Segurança em Utilizadores Filipe, João Guilherme Cercas Ameaça Interna Comportamento Deteção de Anomalias UEBA IBM QRadar Machine Learning Trabalhos de projeto de mestrado - 2020 Departamento de Informática |
title_short |
QRadar UBA: Deteção e Análise de Anomalias Comportamentais de Segurança em Utilizadores |
title_full |
QRadar UBA: Deteção e Análise de Anomalias Comportamentais de Segurança em Utilizadores |
title_fullStr |
QRadar UBA: Deteção e Análise de Anomalias Comportamentais de Segurança em Utilizadores |
title_full_unstemmed |
QRadar UBA: Deteção e Análise de Anomalias Comportamentais de Segurança em Utilizadores |
title_sort |
QRadar UBA: Deteção e Análise de Anomalias Comportamentais de Segurança em Utilizadores |
author |
Filipe, João Guilherme Cercas |
author_facet |
Filipe, João Guilherme Cercas |
author_role |
author |
dc.contributor.none.fl_str_mv |
Ferreira, Pedro Miguel Frazão Fernandes Repositório da Universidade de Lisboa |
dc.contributor.author.fl_str_mv |
Filipe, João Guilherme Cercas |
dc.subject.por.fl_str_mv |
Ameaça Interna Comportamento Deteção de Anomalias UEBA IBM QRadar Machine Learning Trabalhos de projeto de mestrado - 2020 Departamento de Informática |
topic |
Ameaça Interna Comportamento Deteção de Anomalias UEBA IBM QRadar Machine Learning Trabalhos de projeto de mestrado - 2020 Departamento de Informática |
description |
Trabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020 |
publishDate |
2020 |
dc.date.none.fl_str_mv |
2020 2020 2020-01-01T00:00:00Z 2021-06-04T10:12:24Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10451/48314 TID:202606198 |
url |
http://hdl.handle.net/10451/48314 |
identifier_str_mv |
TID:202606198 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
application/pdf |
dc.source.none.fl_str_mv |
reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP |
instname_str |
Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
instacron_str |
RCAAP |
institution |
RCAAP |
reponame_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
collection |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository.name.fl_str_mv |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
repository.mail.fl_str_mv |
|
_version_ |
1799134549030993920 |