用户和实体行为分析(UEBA)揭示了企业面临的隐藏风险。UEBA使用先进的数据分析技术筛选来自多个来源的数据流,以寻找攻击、侦察和数据泄露的证据。在这种情况下,行为分析是指人和系统或实体的行为。这里的例子包括,如果用户突然下载大量数据,系统突然尝试连接到另一个它通常不与之通信的系统,或者发生任何其他异常情况。UEBA在以下主要领域有多个用例:网络安全网络和数据中心运营管理业务运营网络安全UEBA用例1.检测横向攻击网络日志可以显示系统试图联系其他系统的证据通常不与之通信,这可能表明它已被破坏并用作对其他系统进行横向攻击的发射台。2.识别受感染的账户系统和网络日志可以显示人们或账户正在尝试做他们通常不会也不应该做的事情。这可能表明该帐户的凭据已被泄露,并且第三方正在使用该帐户对功能和漏洞进行编程或泄露敏感数据。3.发现内部威胁行为分析可以发现一个帐户使用比平常更高级别的权限,或者试图访问它通常不与之交互的系统。这些是内部人员滥用其帐户功能的潜在证据。4.检测木马账户创建分析可以发现账户创建、删除或修改活动的异常爆发,例如创建大量系统管理员账户或现有账户的某些访问权限的丢失。此行为可能表明不良行为者正在设置本地帐户以进行进一步操纵。5.监控违反账户共享政策的行为UEBA系统可以发现用户共享凭证的证据,而不是仅在他们自己的账户内操作,这使得不良行为者更有可能妥协。UEBA系统可以发现用户共享凭据而不是仅在他们自己的帐户内操作的证据,从而更有可能被不良行为者破坏。在用户的帐户中操作,使其更容易被不良行为者破坏。6.预测即将发生的硬件和软件故障异常行为可以指示硬件中当前或即将发生的故障;操作系统;中间件,例如数据库管理系统;应用服务器;和应用程序。例如,给定网络交换机端口上越来越多的数据传输错误可能表示硬件故障或该端口的电缆有问题。7.执行根本原因分析一个问题有时会产生跨越多个系统和功能层的影响。这里需要威胁分析来发现连接。例如,跨多个面向员工和客户的应用程序的分散事务失败,以及在特定Kubernetes集群中运行的数据库服务器和应用程序容器的间歇性问题,可能源于它们背后的存储网络问题。UEBA解决了企业和云服务提供商的运营需求,可以主动或追溯使用。他们可以使用UEBA工具来帮助确定发生时没有明确关联的分散问题的根本原因,或者在失败后使用它们来查看是否可以更快地发现问题迹象并可能再次发生。8.了解生产力行为可以提供个人和团队生产力的线索,显示是什么让一些人或团队在特定情况下比其他人更有效。9.了解实际的团队结构行为分析还可以揭示员工之间的沟通模式,这可以深入了解哪些员工被其他员工视为领导者、帮助者或导师。10.检测欺诈交易银行和其他金融服务机构,以及电话公司等服务提供商,长期以来一直使用这种技术来检测欺诈。这些系统是UEBA工具使用的分析技术的一些最早应用。在这些情况下,工具专注于异常行为,例如:异常使用ATM卡或网上银行;意外的信用卡收费模式;不寻常的保险索赔模式;长途电话费欺诈;和机器人电话。通过关注人和系统的行为,UEBA工具可以在越来越多的用例中找到有用的信息。人工智能和机器学习的快速发展只会扩大和深化可用工具集,以及它们从分散在不同时间、地理和系统中的数据中梳理意义的能力。
