技術主題

什麼是用戶和實體行為分析 (UEBA)?

以問號為重點的 IT 項目圖示

概述

使用者和實體行為分析 (UEBA) 是一種網路安全解決方案,它使用機器學習 (ML)、深度學習和統計分析來識別使用者和實體(例如,主機、應用程式、網路流量和數據存儲庫)在企業網路或計算機系統上的正常行為模式。當檢測到與這些行為模式的異常或偏差並且風險評分超過指定閾值時,UEBA 解決方案會向安全運營中心 (SOC) 團隊發出警報,告知是否正在發生潛在威脅或網路攻擊。

UEBA 是現代組織網路安全堆疊中必不可少的工具,尤其是在許多傳統工具迅速過時的情況下。隨著網路犯罪分子和駭客變得越來越老練,他們可以更輕鬆地繞過傳統的邊界防禦系統,例如安全Web閘道 (SWG)、防火牆和其他入侵防禦工具。

如果您不熟悉歐巴聯賽,本指南可以説明您分解它。下面,我們將討論什麼是UEBA安全性,它是如何工作的,用戶行為分析(UBA)和UEBA之間的區別,以及UEBA最佳實踐。

使用者與實體行為分析 (UEBA)

什麼是UEBA安全性?

許多傳統的網路安全工具僅使用統計分析和使用者定義的關聯規則來識別行為模式異常或偏差。雖然這些工具可以有效阻止已知威脅,但在涉及未知或零日攻擊以及內部威脅時,它們已經過時了。然而,藉助 UEBA 安全性,SOC 團隊可以自動檢測整個企業網路或計算機系統中的異常行為,而無需依賴使用者定義的規則或模式。

UEBA 結合了 ML、深度學習和統計分析的強大功能,為 SOC 團隊提供更全面的威脅檢測軟體,使組織能夠自動檢測跨多個使用者和實體的複雜攻擊。此外,UEBA 解決方案可以將日誌和報告中的數據組合在一起,以及分析檔和數據包中的資訊。

UEBA安全如何運作?

UEBA 的工作原理是從系統日誌中收集有關正常使用者和實體行為模式的資訊。然後,它應用智能統計分析方法來解釋每個數據集並建立這些行為模式的基線。建立行為模式基線是歐巴的關鍵,因為這允許系統檢測潛在的網路攻擊或威脅。

使用 UEBA 解決方案,可以連續將當前使用者和實體行為與其各自的基線進行比較。然後,UEBA 網路威脅情報軟體計算風險評分,並確定是否有任何行為模式異常或偏差存在風險。如果風險評分超過一定限制,UEBA 系統將提醒 SOC 團隊成員。

例如,如果使用者每天定期下載 5 MB 的檔,然後突然開始下載 GB 的檔,則 UEBA 解決方案將識別此用戶行為模式偏差,並提醒 IT 部門可能存在安全威脅。

根據 Gartner 的說法,UEBA 解決方案由三個核心屬性定義:

  1. 使用案例:UEBA 解決方案應該能夠分析、檢測、報告和監視使用者和實體的行為模式。而且,與過去的單點解決方案不同,UEBA 應該專注於多個用例,而不僅僅是專注於專業分析,例如可信主機監控或欺詐檢測。
  2. 分析學:UEBA 解決方案應提供高級分析功能,可以在單個包中使用多種分析方法檢測行為模式異常。其中包括統計模型和機器學習 (ML),以及規則和簽名。
  3. 數據來源:UEBA 解決方案應能夠從數據源或通過現有數據存儲庫(例如 ,安全資訊和事件管理 (SIEM)、數據倉庫或數據湖)從使用者和實體活動中引入數據。

UBA 工具和 UEBA 工具的區別

根據 Gartner 的定義,用戶行為分析 (UBA) 是 UEBA 的前身,因為它是一種網路安全工具,可以嚴格分析網路或計算機系統上的用戶行為模式。雖然 UBA 解決方案仍應用高級分析來識別行為模式異常,但它們無法分析其他實體,例如路由器、伺服器和端點。

Gartner 後來更新了 UBA 的定義並創建了 UEBA,其中包括對使用者和實體(個人或對等組)的行為分析。UEBA 解決方案比 UBA 解決方案更強大,因為它們使用 ML 和深度學習來識別跨個人、設備和網路(包括基於雲的網路)的複雜攻擊,例如內部威脅(例如數據洩露)、高級持續性威脅或零日攻擊),而不是依賴於使用者定義的關聯規則。

UEBA 最佳實踐

根據經驗,UEBA 工具不應取代預先存在的網路安全工具或監控系統,例如 CASB 或入侵檢測系統 (IDS)。相反,應將 UEBA 合併到整體安全堆疊中,以增強組織的總體安全態勢。UEBA的其他最佳實踐包括:

  • 確保只有指定的 IT 成員才能收到 UEBA 系統警報。
  • 將特權和非特權用戶帳戶都視為潛在風險。
  • 在創建新的策略和規則時,同時考慮內部和外部威脅。
  • 將 UEBA 與 SIEM 等大數據安全分析相結合,使其更有效地檢測和分析複雜或未知威脅。

使用 CyberRes Arcsight 部署 UEBA Intelligence

當涉及高級用戶和實體行為分析時,CyberRes(Micro Focus 業務線)Arcsight Intelligence 可以幫助您的組織免受複雜的網路威脅。我們強大的 UEBA 工具提供企業內使用者和實體行為模式的情境視圖,為您的 SOC 團隊提供全面的工具,以便在為時已晚之前可視化和調查威脅(例如內部威脅和 APT)

阻止內部威脅ArcSight 行為分析

此外,我們的異常檢測模型並不期望每個使用者或實體都有相同的行為模式,這意味著您不必處理大量誤報警報。使用ArcSight Intelligence ,我們的軟體利用數學機率和無監督機器學習來更準確地識別網路威脅,從而在異常行為和真實威脅之間建立清晰的界限。

如果您準備好了解如何ArcSight Intelligence 利用 UEBA 解決方案協助您的 SOC 團隊快速發現企業網路中隱藏的威脅,請立即申請簡報。

相關產品

OpenText™ ArcSight™ Intelligence

主動檢測內部風險、新型攻擊和高級持續性威脅

OpenText™ ArcSight™ Enterprise Security Manager

通過即時檢測和本機 SOAR 加速威脅檢測和回應

OpenText™ Cybersecurity Cloud

更智慧、更簡單的保護

SIEM 即服務

為您的SOC團隊提供以下功能:即時威脅檢測;內部威脅緩解;日誌管理、合規性和威脅搜尋功能;安全編排、自動化和回應

ArcSight 偵察

簡化日誌管理和合規性,同時加快取證調查。通過大數據搜索、可視化和報告來搜尋和擊敗威脅

ThreatHub 業務績效研究

OpenText ThreatHub Research 向您展示您的組織面臨哪些威脅,以及您可以採取哪些措施。由 CISO 製造,為 CISO 服務, OpenText ThreatHub Research 可協助您增強網路彈性並從策略上保護您的數位價值鏈

查看所有相關產品

我們能提供什麼協助?

腳注