什么是用户和实体行为分析(UEBA)

用户和实体行为分析(UEBA)解决方案旨在根据异常行为识别网络安全威胁。一旦解决方案清楚地了解组织的系统如何正常工作,它就可以识别可能表明潜在威胁的偏差。例如,从公司数据库大量异常下载数据可能表明数据泄露正在进行中。

什么是用户和实体行为分析(UEBA)

用户和实体行为分析(UEBA)如何工作?

UEBA 解决方案部署到整个组织网络中的设备。在部署后的一段时间内,UEBA 解决方案会监控设备并建立正常使用情况的配置文件。这包括该设备的各种用户的活动。一段时间后,UEBA 有了一个很好的模型来区分什么是正常和异常行为。此时,它可以从学习模式过渡到主动模式。

在活动模式下,UEBA 解决方案会监控各种操作并根据其正常行为模型对其进行评估。如果它观察到异常活动,它可以提醒管理员并可能触发旨在阻止潜在威胁的响应。

例如,组织中的用户通常可能将大部分工作日花在编辑文档和浏览 Internet 上。如果他们的账户突然开始向其他系统发出请求并探索网络,UEBA 解决方案可能会发出警报。虽然这种活动变化可能是良性的,但它也可能表明用户的凭据已被攻击者泄露。如果这是追逐,UEBA 解决方案提供的警告为组织提供了解决问题的机会。

用户和实体行为分析 (UEBA) 的需求

如果攻击者可以访问用户的帐户,他们可能不需要使用恶意软件和类似技术来实现他们的目标。这可能会给一些旨在检测此类恶意内容的安全解决方案带来挑战。

然而,攻击者在实现其目标的过程中很可能会采取偏离规范的行动。例如,如果不访问数据就无法执行数据泄露,勒索软件涉及大量文件操作。UEBA 解决方案可以识别并报告这些异常活动,使组织能够在没有恶意软件或恶意内容的情况下检测到攻击。

欧足联福利

UEBA 为组织的安全运营中心(SOC) 提供了许多好处,包括:

广泛的威胁检测: UEBA 通过寻找与正常行为的偏差来识别威胁。这使它能够识别范围广泛的威胁,包括不使用恶意软件或恶意内容的威胁。

自动分析: UEBA 自动收集和分析大量数据以构建其模型并检测异常事件。这提供了有价值的上下文,而无需安全分析师执行此分析。

提高安全性: UEBA 能够识别内部威胁和其他使用其他安全解决方案更难检测的风险。因此,它降低了组织遭受网络攻击的风险。

什么是用户和实体行为分析(UEBA)

UEBA 与 NTA

UEBA 和网络流量分析(NTA)——也称为网络检测和响应(NDR)——都可以识别一些相同的威胁,并且它们都使用类似的技术,例如机器学习和数据分析。但是,它们不是相同的解决方案。例如,NTA 可以提供对组织网络事件的更广泛可见性,而不仅仅是那些被标记为异常的事件。另一方面,UEBA 解决方案提供对受监控设备上本地事件的可见性,而 NTA 仅具有对网络级事件的可见性。

UEBA 与 SIEM

UEBA 和安全信息与事件管理(SIEM) 解决方案都使用机器学习和数据分析来识别威胁。但是,它们是旨在识别不同类型威胁的不同解决方案。

一般来说,SIEM 解决方案更能够识别不太复杂的一次性威胁,并且专注于安全管理。但是,他们可能无法了解更复杂和微妙的攻击活动。另一方面,UEBA 解决方案更侧重于构建用户和设备的配置文件,并寻找与这些配置文件的偏差。这使他们能够识别更微妙的攻击并检测 SIEM 可能遗漏的内部威胁。

文章链接: https://www.mfisp.com/20453.html

文章标题:什么是用户和实体行为分析(UEBA)

文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
IDC云库

什么是制造业中的人工智能?

2023-5-12 11:34:02

IDC云库

创建漏洞管理策略的技巧

2023-5-12 11:49:45

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

梦飞科技 - 最新云主机促销服务器租用优惠