用户和实体行为分析 (UEBA) 定义了一个网络安全流程,使 IT 安全团队能够监控和响应整个网络的可疑行为。 “用户行为”一词包括人类和非人类实体在云、移动或本地应用程序和端点上的所有活动。
UEBA 不是严格依赖预定义的规则来确定可接受的行为类型,而是允许 IT 安全团队衡量和确定哪些行为应被视为正常行为。 这为他们提供了一个基线,以帮助在异常活动发生时发现并做出相应的反应。 因此,UEBA 提供态势感知,用于跟踪偏离规范的用户活动,并帮助分析人员了解在发生违规事件时要查找的内容。
UEBA 安全工具如何工作?
现代 UEBA 软件工具使用机器学习、算法和统计分析来建立反映正常活动的基线行为。与这些行为的偏差被突出显示为潜在的安全威胁。 UEBA 还可以聚合数据报告和日志,分析文件、流和数据包信息。
UEBA 安全性的概念类似于监控信用卡公司用来检测欺诈的支出模式。假设一张卡和用户凭证丢失或被盗,小偷开始使用该卡进行大额购买。在这种情况下,购买行为的突然变化是触发警报并可能暂停卡活动的危险信号。
UBEA 广撒网,不仅可以跟踪事件或设备,还可以监控网络上的所有用户以及服务器、应用程序和设备。事实证明,它对于识别来自可能滥用特权或凭据被泄露的员工的内部威胁特别有用。这包括有权访问敏感数据的承包商和第三方。
UEBA和UBA有什么区别?
过去曾使用用户行为分析或 UBA 来描述跟踪、收集和评估用户数据和活动。几年前,分析公司 Gartner 开始使用术语用户和实体行为分析来代替 UBA,尽管这两个术语表示相同的功能。 UEBA 将定义扩展到人类用户之外,包括监控应用程序、服务器和设备的活动。