(1)异常值建模:使用机器学习基线和异常检测来识别异常行为,例如用户从无法识别的IP地址访问网络,用户从与其角色无关的敏感文档存储库下载大量IP,或者来自与该企业没有业务往来的国家/地区的服务器流量。
(2)威胁建模:使用来自威胁情报源和违反规则/策略的数据来寻找已知的恶意行为。这可以快速轻松地筛选出简单的恶意软件。
(3)访问异常值建模:确定用户是否正在访问不寻常的东西或他们不应该访问的东西。这需要提取有关用户角色、访问权限的数据。
(4)身份风险概况:根据人力资源数据、监视列表或外部风险指标确定事件中涉及的用户的风险程度。例如,员工最近由于没有升职可能更有可能对企业怀恨在心,并想进行报复。
(5)数据分类:标记与事件相关的所有相关数据,如事件、网络段、资产或涉及的帐户,为调查警报的安全团队提供场景。
行为分析如果做得正确,可以产生足够准确的警报,以实现自动化响应。这种方法提供的大量场景意味着自动修复操作可以非常有针对性,例如删除一个用户对一个系统的访问。这意味着意外干扰合法业务流程的可能性较低。反过来,这可能为首席信息官或首席信息安全官提供帮助,自动化响应是可行的。