(1)異常值建模:使用機器學習基線和異常檢測來識別異常行為,例如用戶從無法識別的IP地址訪問網絡,用戶從與其角色無關的敏感文檔存儲庫下載大量IP,或者來自與該企業(yè)沒有業(yè)務往來的國家/地區(qū)的服務器流量。
(2)威脅建模:使用來自威脅情報源和違反規(guī)則/策略的數據來尋找已知的惡意行為。這可以快速輕松地篩選出簡單的惡意軟件。
(3)訪問異常值建模:確定用戶是否正在訪問不尋常的東西或他們不應該訪問的東西。這需要提取有關用戶角色、訪問權限的數據。
(4)身份風險概況:根據人力資源數據、監(jiān)視列表或外部風險指標確定事件中涉及的用戶的風險程度。例如,員工最近由于沒有升職可能更有可能對企業(yè)懷恨在心,并想進行報復。
(5)數據分類:標記與事件相關的所有相關數據,如事件、網絡段、資產或涉及的帳戶,為調查警報的安全團隊提供場景。
行為分析如果做得正確,可以產生足夠準確的警報,以實現(xiàn)自動化響應。這種方法提供的大量場景意味著自動修復操作可以非常有針對性,例如刪除一個用戶對一個系統(tǒng)的訪問。這意味著意外干擾合法業(yè)務流程的可能性較低。反過來,這可能為首席信息官或首席信息安全官提供幫助,自動化響應是可行的。