使用者和實體行為分析 (UEBA) 是一種網路安全解決方案,它使用機器學習 (ML)、深度學習和統計分析來識別使用者和實體(例如,主機、應用程式、網路流量和數據存儲庫)在企業網路或計算機系統上的正常行為模式。當檢測到與這些行為模式的異常或偏差並且風險評分超過指定閾值時,UEBA 解決方案會向安全運營中心 (SOC) 團隊發出警報,告知是否正在發生潛在威脅或網路攻擊。
UEBA 是現代組織網路安全堆疊中必不可少的工具,尤其是在許多傳統工具迅速過時的情況下。隨著網路犯罪分子和駭客變得越來越老練,他們可以更輕鬆地繞過傳統的邊界防禦系統,例如安全Web閘道 (SWG)、防火牆和其他入侵防禦工具。
如果您不熟悉歐巴聯賽,本指南可以説明您分解它。下面,我們將討論什麼是UEBA安全性,它是如何工作的,用戶行為分析(UBA)和UEBA之間的區別,以及UEBA最佳實踐。
許多傳統的網路安全工具僅使用統計分析和使用者定義的關聯規則來識別行為模式異常或偏差。雖然這些工具可以有效阻止已知威脅,但在涉及未知或零日攻擊以及內部威脅時,它們已經過時了。然而,藉助 UEBA 安全性,SOC 團隊可以自動檢測整個企業網路或計算機系統中的異常行為,而無需依賴使用者定義的規則或模式。
UEBA 結合了 ML、深度學習和統計分析的強大功能,為 SOC 團隊提供更全面的威脅檢測軟體,使組織能夠自動檢測跨多個使用者和實體的複雜攻擊。此外,UEBA 解決方案可以將日誌和報告中的數據組合在一起,以及分析檔和數據包中的資訊。
UEBA 的工作原理是從系統日誌中收集有關正常使用者和實體行為模式的資訊。然後,它應用智能統計分析方法來解釋每個數據集並建立這些行為模式的基線。建立行為模式基線是歐巴的關鍵,因為這允許系統檢測潛在的網路攻擊或威脅。
使用 UEBA 解決方案,可以連續將當前使用者和實體行為與其各自的基線進行比較。然後,UEBA 網路威脅情報軟體計算風險評分,並確定是否有任何行為模式異常或偏差存在風險。如果風險評分超過一定限制,UEBA 系統將提醒 SOC 團隊成員。
例如,如果使用者每天定期下載 5 MB 的檔,然後突然開始下載 GB 的檔,則 UEBA 解決方案將識別此用戶行為模式偏差,並提醒 IT 部門可能存在安全威脅。
根據 Gartner 的說法,UEBA 解決方案由三個核心屬性定義:
根據 Gartner 的定義,用戶行為分析 (UBA) 是 UEBA 的前身,因為它是一種網路安全工具,可以嚴格分析網路或計算機系統上的用戶行為模式。雖然 UBA 解決方案仍應用高級分析來識別行為模式異常,但它們無法分析其他實體,例如路由器、伺服器和端點。
Gartner 後來更新了 UBA 的定義並創建了 UEBA,其中包括對使用者和實體(個人或對等組)的行為分析。UEBA 解決方案比 UBA 解決方案更強大,因為它們使用 ML 和深度學習來識別跨個人、設備和網路(包括基於雲的網路)的複雜攻擊,例如內部威脅(例如數據洩露)、高級持續性威脅或零日攻擊),而不是依賴於使用者定義的關聯規則。
根據經驗,UEBA 工具不應取代預先存在的網路安全工具或監控系統,例如 CASB 或入侵檢測系統 (IDS)。相反,應將 UEBA 合併到整體安全堆疊中,以增強組織的總體安全態勢。UEBA的其他最佳實踐包括:
當涉及高級用戶和實體行為分析時,CyberRes(Micro Focus 業務線)Arcsight Intelligence 可以幫助您的組織免受複雜的網路威脅。我們強大的 UEBA 工具提供企業內使用者和實體行為模式的情境視圖,為您的 SOC 團隊提供全面的工具,以便在為時已晚之前可視化和調查威脅(例如內部威脅和 APT) 。
此外,我們的異常檢測模型並不期望每個使用者或實體都有相同的行為模式,這意味著您不必處理大量誤報警報。使用ArcSight Intelligence ,我們的軟體利用數學機率和無監督機器學習來更準確地識別網路威脅,從而在異常行為和真實威脅之間建立清晰的界限。
如果您準備好了解如何ArcSight Intelligence 利用 UEBA 解決方案協助您的 SOC 團隊快速發現企業網路中隱藏的威脅,請立即申請簡報。
主動檢測內部風險、新型攻擊和高級持續性威脅
透過即時關聯和本機 SOAR 加速威脅偵測和回應
精準防守,信心十足
透過富有洞察力、可操作的安全見解加速威脅偵測
尋找並應對重要的網路威脅
OpenText ThreatHub Research 向您展示您的組織面臨哪些威脅,以及您可以採取哪些措施。由 CISO 製造,為 CISO 服務, OpenText ThreatHub Research 可協助您增強網路彈性並從策略上保護您的數位價值鏈