理解UEBA及其在事件响应中的作用

安全漏洞在数字世界中变得越来越普遍。UEBA帮助组织检测和应对这些事件。

用户和实体行为分析（UEBA）以前被称为用户行为分析（UBA）。它是一种网络安全解决方案，使用分析技术来了解组织中用户（人员）和实体（网络设备和服务器）的典型行为，以便实时检测和应对异常活动。

UEBA可以识别并向安全分析人员发出风险变化和可疑行为的警报，这可能表明：

• 横向移动
• 特权账户滥用
• 权限提升
• 凭证泄漏或
• 内部威胁

UEBA还进一步评估威胁程度，并提供风险评分，以帮助确定适当的应对措施。

继续阅读了解UEBA的工作原理，为什么组织正在转向UEBA，UEBA的主要组成部分，UEBA在事件响应中的作用以及UEBA的最佳实践。

用户和实体行为分析的工作原理是什么？

用户和实体行为分析首先从数据存储库（如数据湖、数据仓库或通过SIEM.）收集有关组织中人员和设备的预期行为的信息。

然后，UEBA使用先进的分析方法处理这些信息，以确定并进一步定义行为模式的基线：员工的登录位置、权限级别、经常访问的文件、服务器、访问的时间和频率以及用于访问的设备。

UEBA然后不断监控用户和实体的活动，将其与基线行为进行比较，并确定可能导致攻击的行动。

UEBA可以知道用户何时进行正常活动，何时发生攻击。虽然hacker可能能够访问员工的登录详细信息，但他们将无法模仿其常规活动和行为。

UEBA解决方案有三个主要组成部分：

数据分析：UEBA收集和组织用户和实体的数据，建立每个用户通常的标准配置文件。然后，制定统计模型并应用于检测异常活动并向安全团队发出警报。

数据整合：为使系统更具弹性，UEBA将从各种源头获取的数据（如系统日志、数据包捕获数据和其他数据集）与从现有安全系统收集的数据进行比较。

数据展示：UEBA系统传达其发现和适当响应的过程。这个过程通常涉及发出请求，要求安全分析人员调查异常行为。

UEBA在事件响应中的作用

用户和实体行为分析使用machine learning和深度学习监控和分析组织中人员和设备的正常行为。

如果与常规模式有偏差，UEBA系统会检测到并进行分析，确定异常行为是否构成真实威胁。

UEBA从数据库、Windows AD、VPN、代理、徽章、文件和终端等不同日志源获取数据进行分析。利用这些输入和学习到的行为，UEBA可以融合信息生成最终的风险评分，并将详细报告发送给安全分析人员。

例如，UEBA可以查看员工首次从非洲通过VPN登录。仅仅因为员工的行为不正常并不意味着它是一种威胁；用户可能只是在旅行。然而，如果同一位人力资源部门的员工突然访问了财务子网，UEBA将识别员工的活动为可疑行为并向安全团队发出警报。

这里是另一个有关的情景。

哈里是纽约西奈山医院的一名员工，他急需钱。在这一天，哈里等待所有人离开办公室后，在晚上7点将患者的敏感信息下载到一个USB设备中。他打算在黑市上高价出售窃取的数据。

幸运的是，西奈山医院采用了一种UEBA解决方案，可以监控医院网络中每个用户和实体的行为。

尽管哈里有权限访问患者信息，但当UEBA系统检测到他与通常活动的偏差时，他的风险分数会增加。他通常在上午9点至下午5点之间查看、创建和编辑患者记录。

当哈里在晚上7点尝试访问信息时，系统会识别出模式和时间上的异常，并分配一个风险分数。

您可以设置您的UEBA系统，仅创建一个警报供安全团队进一步调查，或者您可以设置它立即采取行动，例如由于涉嫌的网络攻击自动关闭该员工的网络连接。

我需要一个UEBA解决方案吗？

UEBA解决方案对于组织来说是必不可少的，因为黑客正在进行越来越难以检测的更复杂的攻击。尤其是当威胁来自内部时，这一点尤为真实。

根据最近的网络安全统计数据，全球有more than 34%的公司受到内部威胁的影响。此外，85%的企业表示很难量化内部攻击的实际成本。

因此，安全团队正在转向更新的检测和事件响应（IR）方法。为了平衡和增强他们的security systems，安全分析师正在将用户和实体行为分析（UEBA）等技术与传统的SIEM和其他遗留预防系统相结合。

与其他传统安全解决方案相比，UEBA为您提供了更强大的内部威胁检测系统。它不仅监控异常人员行为，还监控可疑的横向移动。UEBA还可以跟踪您的云服务、移动设备和物联网设备上的活动。

一个复杂的UEBA系统从所有不同的日志源中提取数据，并为您的安全分析师建立一个详细的攻击报告。这样，您的安全团队就不必花费时间浏览无数日志来确定攻击造成的实际损害。

以下是UEBA的许多用例之一。

UEBA的前6个用例

#1.当用户在已建立的正常行为之外进行风险活动时，UEBA检测到内部特权滥用。

#2. UEBA将来自不同来源的可疑信息融合在一起，创建一个风险分数进行风险排名。

#3. UEBA通过减少误报，对事件进行优先排序。它消除了警报疲劳，使安全团队能够专注于高风险警报。

#4. UEBA可以防止数据丢失和数据外泄，因为该系统在检测到敏感数据在网络内部移动或转出网络时发送警报。

#5. UEBA有助于检测黑客在网络内部的横向移动，这些黑客可能窃取了员工的登录凭据。

#6. UEBA还提供自动化的事件响应，使安全团队能够实时应对安全事件。

UEBA如何改进UBA和SIEM等传统安全系统

UEBA不取代其他安全系统，而是与other solutions一起使用，以实现更有效的网络安全。UEBA与用户行为分析（UBA）的区别在于UEBA包括服务器、路由器和终端等“实体”和“事件”。

UEBA解决方案比UBA更全面，因为它监控非人类进程和机器实体，以更准确地识别威胁。

SIEM代表安全信息和事件管理。传统的SIEM可能无法单独检测到复杂的威胁，因为它不是为此设计的monitor threats in real-time。考虑到黑客通常避免简单的一次性攻击，而是参与一系列复杂的攻击，他们可能在传统的威胁检测工具（如SIEM）中未被发现，持续数周甚至数月。

一种复杂的UEBA解决方案解决了这个限制。UEBA系统分析SIEM存储的数据，并共同实时监控威胁，使您能够快速而轻松地应对违规行为。

因此，通过合并UEBA和SIEM工具，组织可以更有效地进行威胁检测和分析，快速解决漏洞并避免攻击。

用户和实体行为分析的最佳实践

以下是用户行为分析的五个最佳实践，可为建立用户行为基线时提供洞察。

#1. 定义用例

定义您希望UEBA解决方案识别的用例。这些可以是检测特权帐户滥用、凭据泄露或内部威胁。定义用例有助于确定要收集哪些数据进行监视。

#2. 定义数据源

您的UEBA系统可以处理的数据类型越多，基线化将越精确。一些数据源包括系统日志或人力资源数据，如员工绩效历史。

#3. 定义要收集数据的行为

这可能包括员工的工作时间、他们经常访问的应用程序和设备，以及打字节奏。有了这些数据，您可以更好地理解误报的可能原因。

#4. 设置建立基线的持续时间

确定基线周期的持续时间时，需要考虑业务的安全目标和用户的活动。

基线周期既不能太短也不能太长。这是因为如果过快结束基线持续时间，可能无法收集到正确的信息，导致误报率高。另一方面，如果收集基线信息的时间过长，一些恶意活动可能会被视为正常。

#5. 定期更新基线数据

由于用户和实体活动不断变化，您可能需要定期重建基线数据。员工可能会晋升并改变他们的任务和项目、特权级别和活动。当发生变化时，UEBA系统可以自动设置以收集数据并调整基线数据。

最后的话

随着我们对技术的越来越依赖，cybersecurity threats变得更加复杂。大型企业必须保护其保存着自身和客户敏感数据的系统，以避免大规模的安全漏洞。UEBA提供了实时的事件响应系统，可以防止攻击。