什么是用户行为分析 (UBA)？

用户行为分析 (UBA) 是一种收集和分析用户活动数据以创建其正常行为模式和偏好基线的实践。通过为每个用户开发这些基线并监控其针对该基线的实时活动，UBA 可以帮助组织发现违规行为。当发生可疑行为时，团队可以识别潜在的安全威胁、未经授权的访问尝试和数据泄露。

用户行为分析通过收集和分析系统或网络中的用户活动数据来工作。以下是其运行方式的快速概述

首先，UBA 从您的 IT 环境中的各种来源和区域（如日志文件、网络流量和应用程序使用情况）收集有关用户的数据。UBA 通过一个称为行为分析的过程，为用户建立正常行为基线（包括用户参与的常见活动和交互，以及用户的地理位置等被动信息）。

接下来，UBA 应用机器学习、统计建模和其他高级分析来检测与用户基线或可能表明未经授权的访问尝试和其他安全威胁的对等行为的偏差。它检查这些异常以确定其潜在风险，然后根据其严重性分配风险评分。

如果异常检测超过检测规则的风险阈值，则该技术会提醒安全团队，然后安全团队可以调查并响应潜在的恶意活动。

UBA 确保用户的基线不是停滞不前的，而是不断演变，以通过每次操作改进用户的行为配置文件。机器学习通过寻找新的活动模式和其他新数据来不断更新分析。这有助于它随着时间的推移更好地发现异常情况。

用户行为分析帮助组织使用用户帐户检测和响应威胁，例如内部威胁、帐户泄露以及权限滥用。内部威胁和帐户接管的指标包括

• 用户访问他们以前从未使用过的数据库并下载敏感数据
• 用户下载异常大量的数据
• 用户探索/访问可疑的系统或应用程序
• 用户的行为与从事相同工作的其他人显着不同

UBA 还可以检测外部攻击者和其他外部威胁。外部攻击的一些示例包括

用户从不寻常的位置登录，表明帐户已被盗用

• 暴力攻击，例如重复失败的登录尝试或奇怪的登录模式，可能表明攻击者试图获得访问权限
• 可疑的网络活动，例如命令和控制通信或数据外泄尝试
• 其他恶意行为，例如试图提升权限、利用漏洞或执行未经授权的操作

UBA 允许团队分析导致安全事件的用户活动，了解事件的范围，并采取适当的措施来减轻影响。分析师可以获得基于证据的调查起点、用于有效分析的丰富可视化以及用于快速响应的直接数据访问权限。通过监视用户行为以发现违反策略的行为，UBA 可以检测潜在的内部威胁，并帮助您的组织遵守合规性要求。

UEBA 根据整体用户模式的变化不断调整，以微调触发其警报阈值的内容。对于从事相同工作的员工，它会创建对等组比较，从而可以检测相对于对等组的异常。这样，用户配置文件中的共享更改就不太可能显示为需要调查的异常，并且没有足够数据建立基线的用户帐户可以根据其对等组对活动进行基准测试。

用户和实体行为分析 (UEBA) 是网络安全概念，由分析公司 Gartner 于 2015 年提出。UEBA 反映了 UBA 目标的扩展。

UEBA 不仅分析用户行为，还关注系统中其他实体（例如设备和端点）的行为，从而扩展了 UBA 的意图。UEBA 评估用户和实体的活动，以清晰了解整体安全状况。通过监控和关联各种数据点（例如用户行为、主机活动和网络流量），UEBA 可以识别可能表明恶意活动的异常情况。

UBA 和 UEBA 都可以与其他安全系统和工具集成，例如安全信息和事件管理 (SIEM) 系统、数据丢失防护 (DLP) 解决方案和 EDR。这些集成通过提供更全面、集成的威胁和事件视图来增强您的系统的整体安全性。

UBA 和 EDR 之间的区别在于，端点检测与响应是一种网络安全解决方案，它监控和响应端点级别的安全事件。端点是连接到网络的笔记本电脑、服务器和其他设备。相比之下，UBA 侧重于分析和监控系统或网络中各个用户的行为模式。

EDR 将传感器部署到这些端点并直接从它们收集数据。EDR 旨在检测和响应各种基于端点的威胁，包括恶意软件感染和未经授权的访问尝试。安全团队可以将 UBA 和 EDR 结合使用，作为纵深防御网络安全策略的一部分。

用户行为分析存在一些需要考虑的挑战

• UBA 依赖于准确和全面的数据来生成有意义的见解。拥有不完整或不一致的数据源或其他数据质量问题会限制其有效性。
• UBA 作为一种非确定性分析工具的缺点意味着它不能期望检测到每一个真阳性。
• 相反，UBA 算法可能会为正常的的用户行为产生误报警报。这可能会给您的团队带来不必要的工作。
• 如果您收集和分析用户数据用于 UBA，您可能会遇到隐私和道德问题。您的组织需要确保制定适当的同意和隐私措施。
• UBA 处理由网络中所有用户生成的大量数据。对于准备不足的技术，处理和分析如此大量的数据可能会给系统资源带来压力。

您的组织可以通过投入时间进行适当的数据清理、规范化和存储实践来克服这些挑战。其他优先事项可能包括确保隐私合规性并将 UBA 与其他安全措施相结合，以实现全面的防御策略。

利用Elastic Security 的最先进的安全分析功能，以快速且大规模地预防、调查和响应威胁。Elastic Security 支持

• 持续监控：从您的整个数字环境中收集和准备数据，无限期保留数据，并有效地分析数据。
• 调查和响应：使您的团队能够快速访问多年的数据、灵活的工作流程和端到端的协作功能。
• 自动化威胁防护：通过实时监控和保护您的整个数字环境来降低风险。
• 威胁搜寻：获得您所需的快速性、宝贵的见解和丰富的上下文，以搜寻意外威胁以及预期威胁。

立即开始使用 Elastic Security，保护您组织的未来。

网络安全：保护计算机系统、网络和数据免受数字威胁和未经授权的访问的行为。它涉及实施措施和技术来保护信息、维护隐私以及防止数字资产中断或损坏。目标是确保数据的安全性、完整性和可用性，并降低与网络攻击和泄露相关的风险。

安全信息和事件管理 (SIEM)：一种网络安全解决方案，可从多个来源收集和分析数据，以检测和响应安全事件。它提供实时监控、威胁检测和事件响应功能，帮助组织增强整体安全性并防范网络威胁。

安全编排、自动化和响应 (SOAR)：一种网络安全解决方案，可集成工具、流程和工作流程，以简化事件响应、自动化例行任务并促进安全团队之间的协作。SOAR 提高了安全运营的效率和有效性，从而能够更快地响应威胁。

调查与事件响应：在组织的计算机系统或网络中识别、分析和减轻安全事件和泄露的过程。它涉及收集证据、进行取证分析和实施纠正措施，以最大限度地减少事件的影响并防止未来发生事件。

威胁防护：为防御潜在的数字安全威胁而实施的措施和策略。它涉及识别、分析和减轻各种网络威胁（例如恶意软件、网络钓鱼、黑客攻击和内部人员攻击）带来的风险。

• 在 Elastic Cloud 上使用 Elastic Stack 进行用户行为分析
• 用于 SIEM 和安全分析的 Elastic Security
• 首席信息安全官接下来应采用的 3 项技术，以推动组织弹性和增长