什么是用户行为分析 (UBA)？

用户行为分析 (UBA) 是收集和分析用户活动数据以创建其正常行为模式和偏好的基线的实践。通过为每个用户开发这些基线并根据其监控其实时活动，UBA 帮助组织发现异常。当出现可疑行为时，团队可以识别潜在的安全威胁、未经授权的访问尝试和数据泄露。

用户行为分析通过收集和分析系统或网络中的用户活动数据来运作。以下是其运作方式的简要概述

首先，UBA 从您的 IT 环境中的各种来源和区域收集有关用户的數據，例如日志文件、网络流量和应用程序使用情况。UBA 通过称为行为分析的过程，建立用户正常行为的基线（包括用户参与的常见活动和交互，以及用户地理位置等被动信息）。

接下来，UBA 应用机器学习、统计建模和其他高级分析来检测与用户基线或同行行为的偏差，这些偏差可能表明未经授权的访问尝试和其他安全威胁。它检查这些异常以确定其潜在风险，然后根据其严重程度分配风险评分。

如果异常检测超过检测规则的风险阈值，则该技术会提醒安全团队，然后安全团队可以调查并应对可能存在恶意活动的活动。

UBA 确保用户的基线不会停滞，而是随着每次操作不断发展以改进用户的行为分析。机器学习通过寻找新的活动模式和其他新数据来不断更新分析。这有助于它随着时间的推移更好地发现异常。

用户行为分析帮助组织使用用户帐户检测和应对威胁，例如内部威胁、帐户被盗以及权限滥用。内部威胁和帐户接管的指标包括

• 用户访问以前从未使用过的数据库并下载敏感数据
• 用户下载异常大量数据
• 用户探索/访问可疑系统或应用程序
• 用户的行为与从事相同工作的其他人有很大不同

UBA 也可以检测外部攻击者和其他外部威胁。外部攻击的一些示例包括

用户从异常位置登录，表明帐户被盗

• 暴力攻击，例如重复的登录失败尝试或奇怪的登录模式，可能表明攻击者试图获取访问权限
• 可疑网络活动，例如命令和控制通信或数据泄露尝试
• 其他恶意行为，例如试图提升权限、利用漏洞或执行未经授权的操作

UBA 允许团队分析导致安全事件的用户活动，了解事件的范围，并采取适当措施来减轻影响。分析师将获得基于证据的调查起点、用于有效分析的丰富可视化以及用于快速响应的直接数据访问权限。通过监控用户行为以发现违反政策的行为，UBA 可以检测潜在的内部威胁，并帮助您的组织遵守合规性要求。

UEBA 会根据整体用户模式的变化不断调整，以微调触发其警报阈值的因素。对于从事相同工作的员工，它会创建同行组比较，从而允许检测相对于同行的异常。这样，用户分析中共享的变化不太可能表现为需要调查的异常，而没有足够数据来建立基线的用户帐户可以将其活动与同行进行基准测试。

用户和实体行为分析 (UEBA) 是分析师公司 Gartner 在 2015 年创造的一个网络安全概念。UEBA 反映了 UBA 目标的扩展。

UEBA 通过不仅分析用户行为，而且还查看系统中其他实体（例如设备和端点）的行为来扩展 UBA 的意图。UEBA 评估用户和实体的活动，以清楚地了解整体安全状况。通过监控和关联各种数据点（例如用户行为、主机活动和网络流量），UEBA 可以识别可能表明恶意活动的异常。

UBA 和 UEBA 都可以与其他安全系统和工具集成，例如安全信息和事件管理 (SIEM) 系统、数据丢失预防 (DLP) 解决方案和 EDR。这些集成通过为您提供更全面、集成的威胁和事件视图来增强系统的整体安全性。

UBA 和 EDR 之间的区别在于，端点检测和响应是一种网络安全解决方案，它在端点级别监控和响应安全事件。端点是笔记本电脑、服务器和其他连接到网络的设备。相比之下，UBA 专注于分析和监控系统或网络中单个用户的行为模式。

EDR 在这些终端部署传感器并直接从这些终端收集数据。EDR 旨在检测和响应各种基于终端的威胁，包括恶意软件感染和未经授权的访问尝试。安全团队可以将 UBA 和 EDR 结合使用，作为纵深防御网络安全策略的一部分。

用户行为分析有一些挑战需要考虑

• UBA 依赖于准确且全面的数据来生成有意义的见解。拥有不完整或不一致的数据源或其他数据质量问题会限制其有效性。
• UBA 作为非确定性分析工具的缺点意味着它无法预期检测到每个真正阳性。
• 相反，UBA 算法可能会对正常用户行为产生误报。这会给您的团队带来不必要的工作。
• 如果您正在收集和分析用户数据以进行 UBA，您可能会遇到隐私和道德方面的担忧。您的组织需要确保已实施适当的同意和隐私措施。
• UBA 处理网络中所有用户生成的大量数据。对于准备不足的技术，处理和分析如此庞大的数据量可能会使系统资源不堪重负。

您的组织可以通过投入时间进行适当的数据卫生、规范化和存储实践来克服这些挑战。其他优先事项可能包括确保隐私合规性并将 UBA 与其他安全措施相结合，以形成全面的防御策略。

利用 Elastic Security 的最先进安全分析功能，以快速、大规模地预防、调查和响应威胁。Elastic Security 支持

• 持续监控：从您的整个数字环境中收集和准备数据，无限期地保留数据并高效地分析数据。
• 调查和响应：为您的团队提供快速访问多年数据、灵活的工作流程和端到端协作功能。
• 自动化威胁防护：通过实时监控和保护您的整个数字环境来降低风险。
• 威胁狩猎：获得您需要的速度、有价值的见解和丰富的上下文，以便追捕意外威胁以及预期威胁。

立即开始使用 Elastic Security，保护您明天的组织。

网络安全：保护计算机系统、网络和数据免受数字威胁和未经授权访问的做法。它涉及实施措施和技术来保护信息、维护隐私并防止对数字资产造成破坏或损害。目标是确保数据的安全、完整性和可用性，以及减轻与网络攻击和漏洞相关的风险。

安全信息和事件管理 (SIEM)：一种网络安全解决方案，它从多个来源收集和分析数据，以检测和响应安全事件。它提供实时监控、威胁检测和事件响应功能，帮助组织增强整体安全性并抵御网络威胁。

安全编排、自动化和响应 (SOAR)：一种网络安全解决方案，它集成工具、流程和工作流程，以简化事件响应、自动化例行任务并促进安全团队之间的协作。SOAR 提高了安全运营的效率和有效性，从而能够更快地响应威胁。

调查和事件响应：识别、分析和缓解组织计算机系统或网络中的安全事件和漏洞的过程。它涉及收集证据、进行取证分析以及实施纠正措施，以最大程度地减少事件的影响并防止将来发生。

威胁防护：为防御潜在的数字安全威胁而实施的措施和策略。它涉及识别、分析和缓解各种网络威胁（如恶意软件、网络钓鱼、黑客攻击和内部人员攻击）带来的风险。

• Elastic Cloud 上使用 Elastic Stack 进行用户行为分析
• 用于 SIEM 和安全分析的 Elastic Security
• CISOs 应该采用的 3 种技术，以推动组织的韧性和增长