了解 UEBA 及其在事件响应中的作用

安全漏洞在数字世界中变得越来越普遍。 UEBA 帮助组织检测和响应这些事件。

用户和实体行为分析 (UEBA) 以前称为用户行为分析 (UBA)。 它是一种网络安全解决方案，它使用分析来了解组织中的用户（人类）和实体（联网设备和服务器）通常如何实时检测和响应异常活动。

UEBA 可以识别并提醒安全分析师注意可能表明的风险变化和可疑行为：

• 横向运动
• 特权帐户滥用
• 权限提升
• 凭证妥协或
• 内部威胁

UEBA 还进一步评估威胁级别并提供有助于建立适当响应的风险评分。

继续阅读以了解 UEBA 的工作原理、组织为何转向 UEBA、UEBA 的主要组成部分、UEBA 在事件响应中的作用以及 UEBA 最佳实践。

用户和实体行为分析如何工作？

用户和实体行为分析首先从数据存储库（例如数据湖、数据仓库）或通过 SIEM 收集有关组织中人员和机器的预期行为的信息。

UEBA 然后使用高级分析方法来处理这些信息，以确定并进一步定义行为模式的基线：员工从哪里登录、他们的权限级别、文件、他们经常访问的服务器、访问时间和频率以及他们使用的设备使用权。

UEBA 然后持续监控用户和实体活动，将它们与基线行为进行比较，并决定哪些操作可能会导致攻击。

UEBA 可以知道用户何时进行正常活动以及何时发生攻击。 尽管黑客可能能够访问员工的登录详细信息，但他们将无法模仿他们的常规活动和行为。

UEBA 解决方案具有三个主要组件：

数据分析： UEBA 收集和组织用户和实体的数据，以构建每个用户典型行为的标准配置文件。 然后制定并应用统计模型来检测异常活动并提醒安全团队。

数据集成：为了使系统更具弹性，UEBA 将从各种来源（例如系统日志、数据包捕获数据和其他数据集）获得的数据与从现有安全系统收集的数据进行比较。

数据呈现： UEBA 系统传达其发现和适当响应的过程。 此过程通常涉及向安全分析师发出调查异常行为的请求。

UEBA 在事件响应中的作用

用户和实体行为分析使用机器学习和深度学习来监控和分析组织中人和机器的通常行为。

如果与常规模式有偏差，UEBA 系统会检测到它并执行分析，以确定异常行为是否构成真正的威胁。

UEBA 从不同的日志源（例如数据库、Windows AD、VPN、代理、徽章、文件和端点）获取数据以执行此分析。 使用这些输入和习得的行为，UEBA 可以融合信息以构成风险排名的最终分数，并向安全分析师发送详细报告。

例如，UEBA 可以查看第一次从非洲通过 VPN 进入的员工。 仅仅因为员工的行为不正常并不意味着这是一种威胁； 用户可能只是在旅行。 但是，如果人力资源部门的同一名员工突然访问财务子网，UEBA 会将员工的活动识别为可疑并警告安全团队。

这是另一个相关的场景。

哈利是纽约西奈山医院的一名员工，他急需钱。 在这一天，Harry 等待所有人离开办公室，然后在晚上 7 点将患者的敏感信息下载到 USB 设备中。 他打算在黑市上以高价出售被盗数据。

幸运的是，西奈山医院采用了 UEBA 解决方案，该解决方案可以监控医院网络内每个用户和实体的行为。

尽管 Harry 有权访问患者信息，但 UEBA 系统在检测到他的日常活动有偏差时会增加他的风险评分，这通常涉及在上午 9 点到下午 5 点之间查看、创建和编辑患者记录。

当 Harry 在晚上 7 点尝试访问信息时，系统识别模式和时间不规则并分配风险评分。

您可以将 UEBA 系统设置为暗示为安全团队创建警报以建议进一步调查，或者您可以将其设置为立即采取行动，例如由于可疑的网络攻击而自动关闭该员工的网络连接。

我需要 UEBA 解决方案吗？

UEBA 解决方案对组织来说至关重要，因为黑客正在实施越来越难以检测的更复杂的攻击。 在威胁来自内部的情况下尤其如此。

根据最近的网络安全统计，全球超过 34% 的公司受到内部威胁的影响。 此外，85% 的企业表示很难量化内部攻击的实际成本。

因此，安全团队正在转向更新的检测和事件响应 (IR) 方法。 为了平衡和提升他们的安全系统，安全分析师正在将用户和实体行为分析 (UEBA) 等技术与传统的 SIEM 和其他遗留预防系统相结合。

与其他传统安全解决方案相比，UEBA 为您提供了更强大的内部威胁检测系统。 它不仅监控异常的人类行为，还监控可疑的横向运动。 UEBA 还跟踪您的云服务、移动设备和物联网设备上的活动。

复杂的 UEBA 系统从所有不同的日志源中提取数据，并为您的安全分析师构建详细的攻击报告。 这可以为您的安全团队节省花在查看无数日志以确定攻击造成的实际损失的时间。

以下是 UEBA 的众多用例中的一些。

前 6 个 UEBA 用例

#1 . 当用户在既定的正常行为之外执行有风险的活动时，UEBA 会检测到内部特权滥用。

#2. UEBA 融合来自不同来源的可疑信息，为风险排名创建风险评分。

#3. UEBA 通过减少误报来确定事件优先级。 它消除了警报疲劳并使安全团队能够专注于高风险警报。

#4. UEBA 可防止数据丢失和数据泄露，因为系统会在检测到敏感数据在网络内移动或传输出网络时发送警报。

#5 . UEBA 有助于检测网络中可能窃取员工登录凭据的黑客的横向移动。

#6. UEBA 还提供自动化事件响应，使安全团队能够实时响应安全事件。

UEBA 如何改进 UBA 和传统安全系统（如 SIEM）

UEBA 不会取代其他安全系统，但代表了与其他解决方案一起使用的显着改进，以实现更有效的网络安全。 UEBA 与用户行为分析 (UBA) 的不同之处在于 UEBA 包括“实体”和“事件”，例如服务器、路由器和端点。

UEBA 解决方案比 UBA 更全面，因为它监控非人类流程和机器实体以更准确地识别威胁。

SIEM 代表安全信息和事件管理。 传统的遗留 SIEM 本身可能无法检测复杂的威胁，因为它并非旨在实时监控威胁。 考虑到黑客通常会避免简单的一次性攻击，而是进行一系列复杂的攻击，他们可能会在数周甚至数月内不被 SIEM 等传统威胁检测工具检测到。

一个复杂的 UEBA 解决方案解决了这个限制。 UEBA 系统分析 SIEM 存储的数据并协同工作以实时监控威胁，让您能够快速轻松地应对违规行为。

因此，通过合并 UEBA 和 SIEM 工具，组织可以更有效地进行威胁检测和分析、快速解决漏洞并避免攻击。

用户和实体行为分析最佳实践

以下是用户行为分析的五个最佳实践，可让您深入了解在构建用户行为基线时要做的事情。

#1. 定义用例

定义您希望 UEBA 解决方案识别的用例。 这些可以是对特权帐户滥用、凭据泄露或内部威胁的检测。 定义用例可帮助您确定要收集哪些数据以进行监控。

#2. 定义数据源

UEBA 系统可以处理的数据类型越多，基线就越精确。 一些数据源包括系统日志或人力资源数据，例如员工绩效历史。

#3. 定义将收集哪些数据的行为

这可能包括员工的工作时间、他们经常访问的应用程序和设备，以及打字节奏。 有了这些数据，您可以更好地了解误报的可能原因。

#4. 设置建立基线的持续时间

在确定基线期的持续时间时，必须考虑企业的安全目标和用户的活动。

基线期不应太短或太长。 这是因为如果基线持续时间结束太快，您可能无法收集正确的信息，从而导致误报率很高。 另一方面，如果您收集基线信息的时间过长，则某些恶意活动可能会正常通过。

#5. 定期更新您的基线数据

您可能需要定期重建基线数据，因为用户和实体活动一直在变化。 员工可能会得到提升并改变他们的任务和项目、特权级别和活动。 UEBA 系统可以自动设置为在发生变化时收集数据并调整基线数据。

最后的话

随着我们越来越依赖技术，网络安全威胁也变得越来越复杂。 大型企业必须保护其保存其自身及其客户敏感数据的系统，以避免发生大规模的安全漏洞。 UEBA 提供了一个可以防止攻击的实时事件响应系统。