什麼是用戶和實體行為分析 (UEBA)?
概述
使用者和實體行為分析 (UEBA) 是一種网路安全解决方案,它使用机器学习 (ML)、深度學習和統計分析來識別使用者和實體(例如,主機、應用程式、網路流量和數據存儲庫)在企業網路或計算機系統上的正常行為模式。當檢測到與這些行為模式的異常或偏差並且風險評分超過指定閾值時,UEBA 解决方案會向安全運營中心 (SOC) 团队发出警报,告知是否正在发生潜在威胁或网路攻击。
UEBA 是現代組織网路安全堆疊中必不可少的工具,尤其是在許多傳統工具迅速過時的情況下。隨著網路犯罪分子和駭客變得越來越老練,他們可以更輕鬆地繞過傳統的邊界防禦系統,例如安全Web閘道 (SWG)、防火牆和其他入侵防禦工具。
如果您不熟悉欧巴联赛,本指南可以説明您分解它。下面,我们将讨论什麼是鲍贰叠础安全性,它是如何工作的,用户行為分析(鲍叠础)和鲍贰叠础之间的区别,以及鲍贰叠础最佳实践。
使用者與實體行為分析 (UEBA)
什麼是鲍贰叠础安全性?
许多传统的网路安全工具僅使用統計分析和使用者定義的關聯規則來識別行為模式異常或偏差。雖然這些工具可以有效阻止已知威脅,但在涉及未知或零日攻擊以及內部威脅時,它們已經過時了。然而,藉助 UEBA 安全性,SOC 團隊可以自动检测整个公司网路或计算机系统中的异常行為,而无需依赖使用者定义的规则或模式。
UEBA 結合了 ML、深度學習和統計分析的強大功能,為 SOC 團隊提供更全面的威胁检测软体,使組織能夠自動檢測跨多個使用者和實體的複雜攻擊。此外,UEBA 解决方案可以將日誌和報告中的數據組合在一起,以及分析檔和數據包中的資訊。
鲍贰叠础安全如何运作?
UEBA 的工作原理是從系統日誌中收集有關正常使用者和實體行為模式的資訊。然後,它應用智能統計分析方法來解釋每個數據集並建立這些行為模式的基線。建立行為模式基線是歐巴的關鍵,因為這允許系統檢測潛在的網路攻擊或威脅。
使用 UEBA 解决方案,可以連續將當前使用者和實體行為與其各自的基線進行比較。然後,UEBA 網路威胁情报軟體計算風險評分,並確定是否有任何行為模式異常或偏差存在風險。如果風險評分超過一定限制,UEBA 系統將提醒 SOC 團隊成員。
例如,如果使用者每天定期下載 5 MB 的檔,然後突然開始下載 GB 的檔,則 UEBA 解决方案將識別此用戶行為模式偏差,並提醒 IT 部門可能存在安全威脅。
根據 Gartner 的說法,UEBA 解决方案由三個核心屬性定義:
- 使用案例:UEBA 解决方案應該能夠分析、檢測、報告和監視使用者和實體的行為模式。而且,與過去的單點解决方案不同,UEBA 應該專注於多個用例,而不僅僅是專注於專業分析,例如可信主機監控或欺詐檢測。
- 分析学:UEBA 解决方案應提供高級分析功能,可以在單個包中使用多種分析方法檢測行為模式異常。其中包括統計模型和 (惭尝),以及规则和签名。
- 数据来源:UEBA 解决方案應能夠從數據源或通過現有數據存儲庫(例如 ,安全資訊和事件管理 (SIEM)、数据仓库或数据湖)从使用者和实体活动中引入数据。
UBA 工具和 UEBA 工具的區別
根據 Gartner 的定義,用戶行為分析 (UBA) 是 UEBA 的前身,因為它是一種网路安全工具,可以嚴格分析網路或計算機系統上的用戶行為模式。雖然 UBA 解决方案仍應用高級分析來識別行為模式異常,但它們無法分析其他實體,例如路由器、伺服器和端點。
Gartner 後來更新了 UBA 的定義並創建了 UEBA,其中包括對使用者和實體(個人或對等組)的行為分析。UEBA 解决方案比 UBA 解决方案更強大,因為它們使用 ML 和深度學習來識別跨個人、設備和網路(包括基於雲的網路)的複雜攻擊,例如內部威脅(例如數據洩露)、高級持續性威脅或零日攻擊),而不是依賴於使用者定義的關聯規則。
UEBA 最佳實踐
根據經驗,UEBA 工具不應取代預先存在的网路安全工具或監控系統,例如 CASB 或入侵檢測系統 (IDS)。相反,應將 UEBA 合併到整體安全堆疊中,以增強組織的總體安全態勢。UEBA的其他最佳實踐包括:
- 確保只有指定的 IT 成員才能收到 UEBA 系統警報。
- 将特权和非特权用户帐户都视為潜在风险。
- 在创建新的策略和规则时,同时考虑内部和外部威胁。
- 將 UEBA 與 SIEM 等大數據安全分析相結合,使其更有效地檢測和分析複雜或未知威脅。
使用 CyberRes Arcsight Intelligence 部署 UEBA
在 高级用户和实体行為分析方面,CyberRes (a Micro Focus 業務線) Arcsight Intelligence 可以説明您的組織抵禦複雜的網路威脅。我們增強的 UEBA 工具為您的 SOC 團隊提供了企業內使用者和實體行為模式的情境化視圖,為您的 SOC 團隊提供了全面的工具,以便在為時已晚之前可視化和調查威脅()。
阻止內部威脅 ArcSight 行為分析
此外,我們的異常檢測模型不希望每個用戶或實體都具有相同的行為模式,這意味著您不必處理大量誤報警報。用 ArcSight 智慧,我們的軟體通過利用數學概率和無監督机器学习來更準確地識別網路威脅,從而在異常行為和真實威脅之間建立清晰的界限。
如果您準備好瞭解如何操作 ArcSight Intelligence 利用 UEBA 解决方案説明您的 SOC 團隊快速發現企業網路中隱藏的威脅,請隨時申請演示。
