本文介绍了UEBA(用户和实体行为分析)的实现步骤,包括数据采集、信息识别、行为刻画、关联分析、行为建模和异常检测。数据采集涉及日志和网络流量方式,信息识别提取关键元素,行为刻画建立用户行为画像,关联分析多维度剖析安全事件,行为建模建立个体和群组基线,异常检测通过机器学习算法发现偏离正常的行为。UEBA以数据驱动为核心,提升安全运营水平。
点击蓝字|关注我们
自2015年Gartner将UBA正式更名为UEBA之后,经过近几年的发展,UEBA的有效性已经在如数据泄露、内部威胁、账号失陷、主机失陷等典型的场景中得到了应用和验证,在此不赘述。本文将对UEBA的实现过程做简要介绍,不涉及任何场景。从全息来看,完成UEBA的落地实施需要具备6个步骤:
数据采集
信息识别
行为刻画
关联分析
行为建模
异常检测
NO.1
数据采集
数据采集是第一步,也是基础。不同的数据采集方式获得数据类型和颗粒度也不尽相同。目前有两种典型的采集方式:日志(这里将代理方式也划分到日志方式)和网络流量。
日志方式
根据设备和应用系统提供商预先提供的数据格式、颗粒度和内容等的相关规则,产生日志数据,同理安装代理方式也产生各种日志数据,并将日志数据发送到日志探针。
日志方式随着日志数据内容由少到多、颗粒度由粗到精细的过程,占用的资源会急剧增加,此时会给设备和应用系统带来一定的风险。所以在实施日志采集方式时,通常产生的日志数据都是最小集合和粗颗粒度的,而这对于以数据驱动为核心的UEBA来说,最终的效果会大打折扣。
网络流量方式
一般是通过交换机镜像功能,将网络流量复制一份,发送到流量采集器。网络流量方式就是真实和实时的网络流量,包含更加全面的信息。同时,又具有无感知和零风
最低0.47元/天 解锁文章
2954
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
