点击蓝字|关注我们
自2015年Gartner将UBA正式更名为UEBA之后,经过近几年的发展,UEBA的有效性已经在如数据泄露、内部威胁、账号失陷、主机失陷等典型的场景中得到了应用和验证,在此不赘述。本文将对UEBA的实现过程做简要介绍,不涉及任何场景。从全息来看,完成UEBA的落地实施需要具备6个步骤:
数据采集
信息识别
行为刻画
关联分析
行为建模
异常检测
NO.1
数据采集
数据采集是第一步,也是基础。不同的数据采集方式获得数据类型和颗粒度也不尽相同。目前有两种典型的采集方式:日志(这里将代理方式也划分到日志方式)和网络流量。
日志方式
根据设备和应用系统提供商预先提供的数据格式、颗粒度和内容等的相关规则,产生日志数据,同理安装代理方式也产生各种日志数据,并将日志数据发送到日志探针。
日志方式随着日志数据内容由少到多、颗粒度由粗到精细的过程,占用的资源会急剧增加,此时会给设备和应用系统带来一定的风险。所以在实施日志采集方式时,通常产生的日志数据都是最小集合和粗颗粒度的,而这对于以数据驱动为核心的UEBA来说,最终的效果会大打折扣。
网络流量方式
一般是通过交换机镜像功能,将网络流量复制一份,发送到流量采集器。网络流量方式就是真实和实时的网络流量,包含更加全面的信息。同时,又具有无感知和零风