UEBA用户及实体行为分析（一）

大家好，欢迎来到IT知识分享网。

一、UEBA是什么？

        UEBA是用户及实体行为分析（User and Entity Behavior Analytics）的缩写，是一种安全分析方法，用于检测和预防网络中的内部和外部威胁。UEBA通过监控用户和实体（网络设备、进程、应用程序等）的行为，大多数情况下，行为会有一个参照物，也就是行为模式基线，分析其活动模式和异常行为，对比偏差，从而识别潜在的安全风险和威胁，发出告警。

        UEBA的价值在于，能在现有网络安全系统或解决方案基础上（不需要特别完备，当然数据源越多越好），找到传统安全建设的盲点。传统安全建设更专注检测出外部威胁，UEBA更多地是从监测维度找出内部威胁，大部分原因是针对人员的授权控制是及其繁琐且容易被忽略的。

        个人理解：权限控制策略限制太单调（敏感因子设置过高），会导致企业各个人员的工作效率低下及流程流转不方便，因此引入UEBA，不断优化多维度的规则条件（频次，严重程度，风险接收程度，优先级，相关方等），达到一个公司内部安全运营整体的契合度。

二、UEBA的原理

        举例一：本地企业某员工登录VPN，工作时间段登录办公OA，外发文件为不超过50M；但是在某天（排除出差等）异地登录VPN，凌晨3-4点访问办公OA，且外发文件达到GB级别。这就会被判定为一个异常行为，运维人员及时通知并处理。同时UEBA系统也可自动化响应部分操作，禁用权限，给DLP下发策略做拦截等。

        举例二：非正常服务时间段（或者偏离基线的时间内），单个与外网连通的设备与数个内网设备通信，极有可能是BOT肉鸡场景。UEBA系统可以监视单个设备与外网的通信模式，并分析其行为特征。

        行为基线的构造一般会基于数据，利用人工智能和机器学习算法来检测，并达到持续监控的目的。需要注意的是，并不是一定会触发告警或者自动化响应，比较优秀的UEBA工具可以设定阈值或者多维度的条件（包含频次，严重程度，风险接收程度，优先级，相关方等）触发，具体的建设是根据企业自身场景来的。

        UEBA的数据源包括但不限于设备或信息系统单点日志、聚合后的安全事件、授权数据、人事人员清单、门禁打卡记录等等；

三、UEBA的作用

        检测异常活动：通过分析用户和实体的行为模式，可以及时发现异常活动，如未经授权的访问、异常的数据传输等。

        内部威胁检测：识别员工或其他内部人员可能构成的安全威胁，如恶意操作、数据盗窃等。

        降低人员分析成本：面对海量数据，节省人工分析量，将时间放在更有价值的安全研究上。

        实时响应：当发现异常活动时，UEBA可以实时生成警报通知或预定义自动化响应手段。

        威胁情报整合分析：UEBA整合后，可及时调整安全策略。

四、UEBA的小tips

        UEBA来源于UBA，仅对用户行为分析不能很好地满足对安全威胁的监测和应对需求，所以引入实体的概念使数据源更丰富，达到全面深度分析、不同视角维度的分析、关联分析的效果。

       UEBA很大程度上满足了SIEM强调的扩展性，因此UEBA作为SIEM的扩展模块同时存在；SIEM一般通过规则检测实时威胁，UEBA针对长时间潜伏的威胁更有效果。

五、UEBA缺点

        复杂性和部署难度： 实施UEBA系统需要大量的配置和精细调整，需要专业知识和经验丰富的安全团队来管理。

        误报和漏报： 由于UEBA系统主要基于行为分析来检测异常活动，可能会出现误报和漏报的情况。一些正常但罕见的行为可能被误认为是异常，而一些潜在的威胁可能被忽略。

        数据隐私和合规性风险： UEBA系统需要收集和分析用户和实体的行为数据，这涉及到个人隐私和数据保护的问题。

        性能和扩展性挑战： 高频率的数据收集和分析对系统性能造成影响，特别是对于大型组织或需要处理大量数据的情况。

        高成本： 实施和维护UEBA系统需投入大量资源，包括硬件、软件、人力等，成本较高。