UEBA 是用户和实体行为分析技术(user and entity behavior analytics ),UEBA更多的是关注人异常行为,行为主体通常是企业内部的员工。UEBA技术基于海量数据对内部用户的异常行为或内部威胁进行预测,直接以“人”的视角给出判定,抓住“坏人”、主动出击,在数据泄漏之前进行阻止,并为安全分析人员提供可靠的依据。
我们可以通俗的理解为,UEBA是通过技术手段侦察到,“谁”在什么时间内做了什么“坏事”,或者“谁”即将准备“做坏事”。
UEBA和DLP联动,可以提高检测的效率和精确度,减少误报。数据防泄漏(DLP)产品做为APT攻击的最后一道防线可以有效防止用户数据资产的泄漏,但是纯粹的DLP解决方案存在敏感信息不易定义的问题,引起较高的误报率和较低的检出率,只能够被动的对数据进行监控和保护,无法做到主动防御。而且DLP对一般人员效果显著,但是对于别有用心的人员防护能力略显不足。而主动防御,对别有人用心的人进行防御,则是UEBA的强项。如果IUEBA能与数据防泄漏 (DLP)技术相结合,则能实现更精准的异常行为定位。
相较于传统的安全设备分析外部威胁系统例如 SOC/SIEM(Security Operations Center/Security Information Event Management,安全运营中心/安全事件管理),UEBA更加聚焦于“异常用户”(即特权账号被盗用)和“用户异常”(即合法的人做不合法的事),其本身对海量告警信息并不关心。UEBA对企业内部威胁的分析场景更有优势,更侧重于关注用户的行为,可以从另一视角去发现问题。
通常UEBA会与SIEM联动,针对外部数据和内部数据进行统一侦察分析,实现系统的多维度异常检测,对于将会产生的威胁进行及时告警,规避风险。
