用户和实体行为分析(UEBA)是一种网络安全解决方案,它使用机器学习(ML)、深度学习和统计分析来识别企业网络或计算机系统中用户和实体(如主机、应用程序、网络流量和数据存储库)的正常行为模式。当检测到异常或偏离这些行为模式,且风险分数超过指定阈值时,UEBA 解决方案就会提醒安全运营中心 (SOC)团队是否正在发生潜在威胁或网络攻击。
UEBA 是现代企业网络安全堆栈中必不可少的工具,尤其是在许多传统工具迅速过时的情况下。随着网络罪犯和黑客变得越来越复杂,他们可以更容易地绕过传统的外围防御系统,如安全网络网关(SWG)、防火墙和其他入侵防御工具。
如果您对 UEBA 不熟悉,本指南将帮助您进行分析。下面,我们将讨论什么是 UEBA 安全性、它是如何工作的、用户行为分析 (UBA) 和 UEBA 之间的区别以及 UEBA 最佳实践。
许多传统网络安全工具仅使用统计分析和用户定义的相关规则来识别行为模式异常或偏差。虽然这些工具在挫败已知威胁方面很有效,但在应对未知或零时差攻击和内部威胁时就显得过时了。然而,有了 UEBA 安全技术,SOC 团队可以自动检测整个企业网络或计算机系统中的异常行为 ,而无需依赖用户定义的规则或模式。
UEBA 结合了 ML、深度学习和统计分析的强大功能,为 SOC 团队提供了更全面的威胁检测软件,使企业能够自动检测跨多个用户和实体的复杂攻击。此外,UEBA 解决方案还能将日志和报告中的数据进行分组,并分析文件和数据包中的信息。
UEBA 的工作原理是从系统日志中收集有关正常用户和实体行为模式的信息。然后,它应用智能统计分析方法来解释每个数据集,并建立这些行为模式的基线。建立行为模式基线是 UEBA 的关键,因为这样系统就能检测到潜在的网络攻击或威胁。
通过 UEBA 解决方案,当前的用户和实体行为会不断与其各自的基线进行比较。然后,UEBA网络威胁情报 软件会计算风险分数,并确定任何行为模式异常或偏差是否具有风险。如果风险分数超过一定限度,UEBA 系统就会向 SOC 团队成员发出警报。
例如,如果用户每天定期下载 5 MB 的文件,然后突然开始下载价值千兆字节的文件,那么 UEBA 解决方案就会识别这种用户行为模式偏差,并提醒 IT 部门注意可能的安全威胁。
Gartner 认为,UEBA 解决方案有三个核心属性:
根据 Gartner 的定义,用户行为分析(UBA)是 UEBA 的前身,因为它是一种严格分析网络或计算机系统上用户行为模式的网络安全工具。虽然 UBA 解决方案仍然应用高级分析技术来识别行为模式异常,但它们无法分析其他实体,如路由器、服务器和端点。
后来,Gartner 更新了 UBA 的定义,创建了 UEBA--其中包括对用户和实体(单个或同级群组)的行为分析。UEBA 解决方案比 UBA 解决方案更强大,因为它们使用 ML 和深度学习来识别跨个人、设备和网络(包括基于云的网络)的复杂攻击,如内部威胁(如数据外渗)、高级持续威胁或零日攻击,而不是依赖用户定义的相关规则。
根据经验,UEBA 工具不应取代已有的网络安全工具或监控系统,如 CASB 或入侵检测系统 (IDS)。相反,应将 UEBA 纳入整体安全堆栈,以增强组织的总体安全态势。其他 UEBA 最佳实践包括
在 高级用户和实体行为分析方面,CyberRes(Micro Focus 的业务线)ArcsightIntelligence 可帮助您的企业抵御复杂的网络威胁。我们的超强 UEBA 工具可提供企业内用户和实体行为模式的上下文视图,为您的 SOC 团队提供全面的工具来可视化和调查威胁(如内部威胁和 APT),以免为时已晚。
此外,我们的异常检测模型并不期望每个用户或实体都有相同的行为模式,这意味着您不必面对大量的假阳性警报。通过ArcSight Intelligence ,我们的软件利用数学概率和无监督 ML 更准确地识别网络威胁,在异常行为和真实威胁之间建立了明确的界限。
如果您准备了解ArcSight Intelligence 如何利用 UEBA 解决方案帮助您的 SOC 团队快速发现企业网络中隐藏的威胁,请立即申请演示。
主动检测内部风险、新型攻击和高级持续性威胁
利用实时检测和本地 SOAR 加速威胁检测和响应
更智能、更简单的保护
通过以下功能增强 SOC 团队的能力:实时威胁检测;内部威胁缓解;日志管理、合规性和威胁捕猎功能;安全协调、自动化和响应
简化日志管理和合规性,同时加快取证调查。利用大数据搜索、可视化和报告功能,追捕并击败威胁
OpenText ThreatHub Research(威胁汇集研究)向您展示什么在威胁着您的组织,以及您能做些什么。OpenText ThreatHub Research 由 CISO 制作,专为 CISO 设计,可帮助您加强网络复原力,从战略上确保数字价值链的安全。