User and Entity Behavior Analytics (UEBA) är en typ av cybersäkerhetslösning som använder maskininlärning (ML), djupinlärning och statistisk analys för att identifiera normala beteendemönster hos användare och enheter (t.ex. värdar, applikationer, nätverkstrafik och datalager) i företagsnätverk eller datorsystem. När anomalier eller avvikelser från dessa beteendemönster upptäcks och en riskpoäng passerar ett angivet tröskelvärde, varnar en UEBA-lösning team på säkerhetsoperationscentret (SOC) om huruvida ett potentiellt hot eller en cyberattack pågår.
UEBA är ett viktigt verktyg i en modern organisations cybersäkerhetsstack, särskilt som många äldre verktyg snabbt blir föråldrade. I takt med att cyberbrottslingar och hackare blir alltmer sofistikerade kan de lättare kringgå traditionella försvarssystem som secure web gateways (SWG), brandväggar och andra verktyg för att förhindra intrång.
Om du inte är bekant med UEBA är den här guiden här för att hjälpa dig att bryta ner det. Nedan kommer vi att diskutera vad UEBA-säkerhet är, hur det fungerar, skillnaden mellan User Behavior Analytics (UBA) och UEBA samt bästa praxis för UEBA.
Många äldre cybersäkerhetsverktyg identifierade avvikelser i beteendemönster enbart med hjälp av statistisk analys och användardefinierade korrelationsregler. Även om dessa verktyg är effektiva för att motverka kända hot är de föråldrade när det gäller okända eller nolldagsattacker och insiderhot. Med UEBA-säkerhet kan SOC-teamen däremot automatiskt upptäcka ovanliga beteenden i hela företagsnätverk eller datorsystem utan att förlita sig på användardefinierade regler eller mönster.
UEBA kombinerar kraften i ML, djupinlärning och statistisk analys för att förse SOC-team med mer omfattande programvara för hotdetektering- vilket gör det möjligt för organisationer att automatiskt upptäcka komplexa attacker över flera användare och enheter. Dessutom kan en UEBA-lösning gruppera data i loggar och rapporter samt analysera information i filer och paket.
UEBA samlar in information om normala beteendemönster hos användare och enheter från systemloggar. Därefter används intelligenta statistiska analysmetoder för att tolka varje dataset och upprätta baslinjer för dessa beteendemönster. Att etablera baslinjer för beteendemönster är nyckeln till UEBA, eftersom det gör det möjligt för systemet att upptäcka potentiella cyberattacker eller hot.
Med en UEBA-lösning jämförs aktuella beteenden hos användare och enheter kontinuerligt med deras individuella baslinjer. UEBA:s programvara för underrättelse om cyberhot beräknar sedan riskpoäng och identifierar om några avvikelser eller anomalier i beteendemönstret är riskabla. Om en riskpoäng överskrider en viss gräns varnar UEBA-systemet medlemmarna i SOC-teamet.
Om en användare till exempel regelbundet laddar ner 5 MB filer varje dag och sedan plötsligt börjar ladda ner filer värda gigabyte, skulle en UEBA-lösning identifiera denna avvikelse i användarens beteendemönster och varna IT-avdelningen för ett eventuellt säkerhetshot.
Enligt Gartner definieras en UEBA-lösning av tre kärnegenskaper:
Enligt Gartners definition var User Behavior Analytics (UBA) föregångaren till UEBA, eftersom det var ett cybersäkerhetsverktyg som enbart analyserade användarnas beteendemönster i nätverk eller datorsystem. Även om UBA-lösningar fortfarande använde avancerad analys för att identifiera avvikelser i beteendemönster kunde de inte analysera andra enheter, till exempel routrar, servrar och slutpunkter.
Gartner uppdaterade senare definitionen av UBA och skapade UEBA - som omfattade beteendeanalys av både användare och enheter (antingen individuellt eller i grupper). UEBA-lösningar är mer kraftfulla än UBA-lösningar, eftersom de använder ML och djupinlärning för att känna igen komplexa attacker - t.ex. insiderhot (t.ex. datautträngning), avancerade ihållande hot eller nolldagsattacker - över individer, enheter och nätverk (inklusive molnbaserade nätverk) i stället för att förlita sig på användardefinierade korrelationsregler.
En tumregel är att UEBA-verktyg inte ska ersätta befintliga cybersäkerhetsverktyg eller övervakningssystem, till exempel CASB eller IDS (Intrusion Detection System). Istället bör UEBA införlivas i den övergripande säkerhetspaketen för att förbättra organisationens övergripande säkerhetsställning. Andra UEBA-bästa metoder inkluderar:
När det gäller avancerad analys av användar- och enhetsbeteende kan CyberRes (en Micro Focus-affär) Arcsight Intelligence hjälpa din organisation att hålla sig skyddad mot komplexa cyberhot. Vårt UEBA-verktyg ger en kontextualiserad bild av både användares och enheters beteendemönster i ditt företag och ger ditt SOC-team omfattande verktyg för att visualisera och undersöka hot - till exempelinsiderhot och APT - innandet är för sent.
Dessutom förväntar sig våra modeller för anomalidetektering inte samma beteendemönster från alla användare eller enheter - vilket innebär att du inte behöver hantera en flod av falskt positiva varningar. Med hjälp av ArcSight Intelligence skapar vår programvara en tydlig gräns mellan ovanligt beteende och verkliga hot genom att använda matematisk sannolikhet och oövervakad ML för att identifiera cyberhot mer exakt.
Om du är redo att se hur ArcSight Intelligence använder en UEBA-lösning för att hjälpa ditt SOC-team att snabbt upptäcka dolda hot i ditt företagsnätverk, är du välkommen att begära en demo idag.
Proaktivt upptäcka insiderrisker, nya attacker och avancerade ihållande hot
Snabbare upptäckt av hot och snabbare svar med realtidsdetektering och inbyggd SOAR
Smartare, enklare skydd
Stärk SOC-teamet med: hotdetektering i realtid; begränsning av insiderhot; logghantering, efterlevnad och funktioner för hotjakt; säkerhetsorkestrering, automatisering och respons
Förenkla logghantering och efterlevnad samtidigt som du påskyndar kriminaltekniska undersökningar. Jaga och besegra hot med sökning, visualisering och rapportering i stora datamängder
OpenText ThreatHub Research visar dig vad som hotar din organisation och vad du kan göra åt det. Skapad av CISO:er, avsedd för CISO:er, OpenText ThreatHub Research hjälper dig att stärka din cyberresiliens och strategiskt säkra din digitala värdekedja