技术主题

什么是用户和实体行为分析(UEBA)?

以问号为重点的信息技术项目图示

概述

用户和实体行为分析(UEBA)是一种网络安全解决方案,它使用机器学习(ML)、深度学习和统计分析来识别企业网络或计算机系统中用户和实体(如主机、应用程序、网络流量和数据存储库)的正常行为模式。当检测到异常或偏离这些行为模式,且风险分数超过指定阈值时,UEBA 解决方案就会提醒安全运营中心 (SOC)团队是否正在发生潜在威胁或网络攻击。

UEBA 是现代企业网络安全堆栈中必不可少的工具,尤其是在许多传统工具迅速过时的情况下。随着网络罪犯和黑客变得越来越复杂,他们可以更容易地绕过传统的外围防御系统,如安全网络网关(SWG)、防火墙和其他入侵防御工具。

如果您对 UEBA 不熟悉,本指南将帮助您进行分析。下面,我们将讨论什么是 UEBA 安全性、它是如何工作的、用户行为分析 (UBA) 和 UEBA 之间的区别以及 UEBA 最佳实践。

用户和实体行为分析 (UEBA)

什么是 UEBA 安全?

许多传统网络安全工具仅使用统计分析和用户定义的相关规则来识别行为模式异常或偏差。虽然这些工具在挫败已知威胁方面很有效,但在应对未知或零时差攻击和内部威胁时就显得过时了。然而,有了 UEBA 安全技术,SOC 团队可以自动检测整个企业网络或计算机系统中的异常行为 ,而无需依赖用户定义的规则或模式。

UEBA 结合了 ML、深度学习和统计分析的强大功能,为 SOC 团队提供了更全面的威胁检测软件,使企业能够自动检测跨多个用户和实体的复杂攻击。此外,UEBA 解决方案还能将日志和报告中的数据进行分组,并分析文件和数据包中的信息。


UEBA 安全系统是如何工作的?

UEBA 的工作原理是从系统日志中收集有关正常用户和实体行为模式的信息。然后,它应用智能统计分析方法来解释每个数据集,并建立这些行为模式的基线。建立行为模式基线是 UEBA 的关键,因为这样系统就能检测到潜在的网络攻击或威胁。

通过 UEBA 解决方案,当前的用户和实体行为会不断与其各自的基线进行比较。然后,UEBA网络威胁情报 软件会计算风险分数,并确定任何行为模式异常或偏差是否具有风险。如果风险分数超过一定限度,UEBA 系统就会向 SOC 团队成员发出警报。

例如,如果用户每天定期下载 5 MB 的文件,然后突然开始下载价值千兆字节的文件,那么 UEBA 解决方案就会识别这种用户行为模式偏差,并提醒 IT 部门注意可能的安全威胁。

Gartner 认为,UEBA 解决方案有三个核心属性:

  1. 使用案例:UEBA 解决方案应能分析、检测、报告和监控用户和实体的行为模式。而且,与过去的点解决方案不同,UEBA 应关注多种使用案例,而不是只关注专业分析,如可信主机监控或欺诈检测。
  2. 分析:UEBA 解决方案应提供高级分析功能,可在单个软件包中使用多种分析方法检测行为模式异常。这些方法包括统计模型和机器学习(ML),以及规则和签名。
  3. 数据源:UEBA 解决方案应能从数据源或通过现有数据存储库(如 安全信息和事件管理 (SIEM)、数据仓库或数据湖)从用户和实体活动中获取数据。

UBA 工具与 UEBA 工具的区别

根据 Gartner 的定义,用户行为分析(UBA)是 UEBA 的前身,因为它是一种严格分析网络或计算机系统上用户行为模式的网络安全工具。虽然 UBA 解决方案仍然应用高级分析技术来识别行为模式异常,但它们无法分析其他实体,如路由器、服务器和端点。

后来,Gartner 更新了 UBA 的定义,创建了 UEBA--其中包括对用户和实体(单个或同级群组)的行为分析。UEBA 解决方案比 UBA 解决方案更强大,因为它们使用 ML 和深度学习来识别跨个人、设备和网络(包括基于云的网络)的复杂攻击,如内部威胁(如数据外渗)、高级持续威胁或零日攻击,而不是依赖用户定义的相关规则。


非洲大学最佳做法

根据经验,UEBA 工具不应取代已有的网络安全工具或监控系统,如 CASB 或入侵检测系统 (IDS)。相反,应将 UEBA 纳入整体安全堆栈,以增强组织的总体安全态势。其他 UEBA 最佳实践包括

  • 确保只有指定的 IT 成员才能收到 UEBA 系统警报。
  • 将有权限和无权限用户账户都视为潜在风险。
  • 考虑到内部和外部威胁,制定新的政策和规则。
  • 将 UEBA 与 SIEM 等大数据安全分析技术相结合,使其更有效地检测和分析复杂或未知的威胁。

使用 CyberRes Arcsight 部署 UEBAIntelligence

高级用户和实体行为分析方面,CyberRes(Micro Focus 的业务线)ArcsightIntelligence 可帮助您的企业抵御复杂的网络威胁。我们的超强 UEBA 工具可提供企业内用户和实体行为模式的上下文视图,为您的 SOC 团队提供全面的工具来可视化和调查威胁(如内部威胁和 APT),以免为时已晚。


利用ArcSight 行为分析阻止内部威胁

此外,我们的异常检测模型并不期望每个用户或实体都有相同的行为模式,这意味着您不必面对大量的假阳性警报。通过ArcSight Intelligence ,我们的软件利用数学概率和无监督 ML 更准确地识别网络威胁,在异常行为和真实威胁之间建立了明确的界限。

如果您准备了解ArcSight Intelligence 如何利用 UEBA 解决方案帮助您的 SOC 团队快速发现企业网络中隐藏的威胁,请立即申请演示。

我们能提供什么帮助?

脚注