用户和实体行为分析（UEBA）基础指南及解决方案

什么是用户和实体行为分析（UEBA）

用户和实体行为分析（UEBA）或异常检测是一种网络安全技术，它使用机器学习（ML）算法来检测网络中用户、主机和其他实体的异常活动。

为了检测异常，用户和实体行为分析（UEBA）首先了解网络中所有用户和实体的预期行为，并为每个用户和实体创建常规活动的基线。任何偏离此基线的活动都会被标记为异常。随着经验的积累，UEBA 解决方案会变得更加有效。

用户和实体行为分析（UEBA）集成的 SIEM 解决方案中的 ML 算法将监控日志数据，在网络中建立模式。例如，用户的登录和注销时间以及他们在特定设备上的操作将告诉 SIEM 解决方案该用户预期进行的活动，一旦它监控了几天的活动，UEBA 引擎就会知道用户的预期行为，包括任何偏离预期的行为，用户的风险评分将增加，以指示威胁的严重性，并且 SIEM 解决方案会向安全分析人员发出警报。

用户和实体行为分析（UEBA）可以识别哪些类型的异常

UEBA 可识别与时间、计数和模式关联的异常，以下是它们各自的含义。

• 时间异常：如果用户或实体偏离预期的基线，则称为时间异常。
• 计数异常：如果用户或实体在短时间内执行了异常数量的活动，我们将其称为计数异常。例如，用户在上午 11 点到中午 12 点之间的一小时内访问客户数据库 50 次。
• 模式异常：如果意外的事件序列导致以非典型或未经授权的方式访问用户帐户或实体，则称为模式异常。例如，一个用户帐户在连续8次登录失败后成功登录，随后从该帐户进行了多次文件删除、修改和数据传输。

用户和实体行为分析（UEBA）的三大支柱

UEBA 涉及三个关键属性或支柱：用例、数据源和分析。

• 用例：UEBA 会查找与用户和实体正常行为的异常偏差，以识别安全威胁，但是，对于它们来说，适用于众多用例至关重要，例如内部威胁、帐户泄露、数据泄露和零日攻击。
• 数据源：使用的UEBA解决方案应该能够通过完全集成到SIEM解决方案中，从不同的数据源（如事件日志、网络流量和端点设备）收集数据，或者从常规存储库（如数据仓库或数据湖）收集数据。它们不应该要求在IT环境中部署代理来收集数据。
• 分析：UEBA 采用先进的分析技术，例如 ML 算法、统计模型、威胁标识以及用于识别用户和实体的正常行为基线的规则。然后，UEBA在用户角色、权限和典型活动中分析行为，以准确区分正常行为和可疑行为。

这三大支柱共同使组织能够加强其网络安全态势并有效降低风险。

用户和实体行为分析（UEBA）的组件

用户和实体行为分析（UEBA）有三个主要组件：

• 数据分析：UEBA 中的数据分析涉及从各种日志源收集和分析数据，以研究所有用户和实体的“正常行为”。每当它检测到任何异常值事件时，它都会将它们标记为异常。
• 数据集成：需要将从各种来源收集的数据（包括日志、数据包捕获数据和其他数据集）与现有的安全系统集成，以使其更加强大。
• 数据显示：UEBA 中的数据显示有助于安全分析人员和其他管理人员轻松解释所识别的行为模式并做出正确的决策。这是通过可视化、图表、图形或报告完成的，这些报告突出了来自数据分析的模式、异常和风险得分。

用户和实体行为分析（UEBA）是如何工作的

密切监控一个人的行为可以揭示很多他的真实意图，这就是UEBA的工作概念。UEBA密切监控网络中每个用户和实体的活动，并了解它们的特征，通过使用活动日志来研究用户和实体的通常行为，UEBA解决方案通常与SIEM解决方案一起使用。

将组织中的每个用户和实体的行为与常规活动的基线进行比较后，计算出风险评分。风险评分通常在0到100之间（分别表示无风险到最大风险）。偏离行为的风险评分取决于一些因素，例如行为的分配权重、行为偏离基线的程度、每种偏离的频率，以及自该类型偏离发生以来所经过的时间等。

建立UEBA系统有两种方法：

• 受监督的 ML：在这种方法中，UEBA 系统被提供给已知的好行为和坏行为的列表，此列表是有限的，因此可能缺乏适当的知识来检测异常行为。系统进一步构建这些输入，并检测网络中的异常行为。
• 无监督的 ML：在无监督 ML 方法中，UEBA 系统会经历一个训练期，来学习每个用户和实体的正常行为，这种方法无疑是最好的，因为该系统会自行研究用户和实体的日常行为。

UEBA的工作机制

UEBA 采用鲁棒主成分分析（RPCA）和马尔可夫链等统计模型来建立行为基线，这些异常情况检测模型有助于检测时间、计数和模式异常。

UEBA 对安全运营的好处

• 它可以提供更好的保护，防止目前还没有已知签名的零日漏洞。
• 将每个用户和实体的活动与其相应的典型行为、平均行为或基线行为进行比较。因此，与基于规则的告警机制相比，误报和漏报的数量将减少。
• 传统的 SIEM 解决方案将安全事故视为孤立事件并发送警报，而 UEBA 解决方案则从整体上查看安全性并计算每个用户的风险评分，从而减少误报。
• 与传统的安全解决方案相比，UEBA 集成的 SIEM 解决方案可以更有效地检测长期的恶意横向移动，而风险评分有助于控制这种情况。
• 减少依赖 IT 管理员来制定阈值或关联规则来识别威胁。
• 风险评分使安全管理员能够专注于最可信的高风险警报。

用户和实体行为分析（UEBA）使用案例

UEBA可以帮助组织识别各种威胁，例如恶意内部人员、受损帐户、数据泄露和异常登录，为此，他们会寻找以下迹象：

内部威胁的迹象

• 新的或不寻常的系统访问
• 异常访问时间
• 异常文件访问或修改
• 过多的身份验证失败

帐户被盗用的迹象

• 用户运行的异常软件
• 主机上安装的多个软件实例
• 主机上的大量登录失败

数据泄露的迹象

• 文件下载数量或类型异常
• 用户创建多个可移动磁盘
• 用户执行的异常命令
• 主机登录异常

登录异常的迹象

• 多次登录失败
• 多次登录失败后成功登录
• 在异常时间尝试登录
• 登录位置异常
• 未经授权的登录或登录尝试

如何选择合适的UEBA解决方案

实时警报

通过警报，管理员可以实时接收有关网络中发生的异常情况的通知。例如，一旦发现异常，可能会收到电子邮件通知。借助实时警报，管理员无需登录 UEBA 解决方案，即可在网络面临新风险时检查警报。

数据收集和分析

UEBA 解决方案应正确收集和分析网络中用户、计算机和其他实体的数据，例如事件日志和数据包捕获数据。对不同来源的数据进行持续监控和分析将有助于轻松、即时地检测异常情况。

可定制的异常模型

所有异常检测系统都提供内置的异常模型，这些机器学习算法，用于学习网络中每个用户和主机的预期活动基线。如果 UEBA 解决方案能够训练你自己的异常模型，则称为可定制的异常模型，这使管理员能够以更好的方式满足公司的特定安全情况。

可操作的报告

收集到的数据应该有效地整合到易于查看的报告中，生成可操作的报告是 UEBA 解决方案的另一个关键功能。定期检查报告有助于管理员发现网络中的错误标记，并提供有关如何定制 UEBA 解决方案以符合组织安全规范的见解。

准确的风险评分

UEBA 解决方案必须能够为网络中的每个用户和主机分配风险评分，以表示实体构成的风险程度。风险评分取决于用户或主机触发的异常的程度和类型。

对等分组分析

对等分组是根据用户和主机过去的行为将用户和主机分组到不同的对等组的过程。如果企业的安全分析平台采用对等组分析，它将能够根据用户或主机所在的组确定其行为是否符合预期，如果它的行为不符合预期，系统将触发异常警报。除了将用户或主机的行为与其自己的基线进行比较之外，通过执行此操作，对等组分析还有助于减少误报的数量。

Log360 是具有异常检测功能的统一SIEM解决方案，它使用 ML 算法来分析用户和网络中其他实体的模式。借助 用户和实体行为分析模块（UEBA），可以分析用户行为，跟踪可疑用户和实体的异常活动，分配风险评分，并实时收到有关异常活动的警报，从而减少潜伏的风险。