用戶(hù)和實(shí)體行為分析(UEBA)解決方案旨在根據(jù)異常行為識(shí)別網(wǎng)絡(luò)安全威脅���。一旦解決方案清楚地了解組織的系統(tǒng)如何正常工作,它就可以識(shí)別可能表明潛在威脅的偏差���。例如,從公司數(shù)據(jù)庫(kù)大量異常下載數(shù)據(jù)可能表明數(shù)據(jù)泄露正在進(jìn)行中��。
用戶(hù)和實(shí)體行為分析(UEBA)如何工作�����?
UEBA 解決方案部署到整個(gè)組織網(wǎng)絡(luò)中的設(shè)備�����。在部署后的一段時(shí)間內(nèi),UEBA 解決方案會(huì)監(jiān)控設(shè)備并建立正常使用情況的配置文件。這包括該設(shè)備的各種用戶(hù)的活動(dòng)�����。一段時(shí)間后�����,UEBA 有了一個(gè)很好的模型來(lái)區(qū)分什么是正常和異常行為���。此時(shí)��,它可以從學(xué)習(xí)模式過(guò)渡到主動(dòng)模式�����。
在活動(dòng)模式下���,UEBA 解決方案會(huì)監(jiān)控各種操作并根據(jù)其正常行為模型對(duì)其進(jìn)行評(píng)估���。如果它觀察到異?�;顒?dòng)���,它可以提醒管理員并可能觸發(fā)旨在阻止?jié)撛谕{的響應(yīng)���。
例如��,組織中的用戶(hù)通常可能將大部分工作日花在編輯文檔和瀏覽 Internet 上。如果他們的賬戶(hù)突然開(kāi)始向其他系統(tǒng)發(fā)出請(qǐng)求并探索網(wǎng)絡(luò)��,UEBA 解決方案可能會(huì)發(fā)出警報(bào)��。雖然這種活動(dòng)變化可能是良性的���,但它也可能表明用戶(hù)的憑據(jù)已被攻擊者泄露�����。如果這是追逐,UEBA 解決方案提供的警告為組織提供了解決問(wèn)題的機(jī)會(huì)���。
用戶(hù)和實(shí)體行為分析 (UEBA) 的需求
如果攻擊者可以訪問(wèn)用戶(hù)的帳戶(hù),他們可能不需要使用惡意軟件和類(lèi)似技術(shù)來(lái)實(shí)現(xiàn)他們的目標(biāo)。這可能會(huì)給一些旨在檢測(cè)此類(lèi)惡意內(nèi)容的安全解決方案帶來(lái)挑戰(zhàn)。
然而�����,攻擊者在實(shí)現(xiàn)其目標(biāo)的過(guò)程中很可能會(huì)采取偏離規(guī)范的行動(dòng)��。例如,如果不訪問(wèn)數(shù)據(jù)就無(wú)法執(zhí)行數(shù)據(jù)泄露���,勒索軟件涉及大量文件操作。UEBA 解決方案可以識(shí)別并報(bào)告這些異?����;顒?dòng)��,使組織能夠在沒(méi)有惡意軟件或惡意內(nèi)容的情況下檢測(cè)到攻擊��。
歐足聯(lián)福利
UEBA 為組織的安全運(yùn)營(yíng)中心(SOC) 提供了許多好處,包括:
廣泛的威脅檢測(cè): UEBA 通過(guò)尋找與正常行為的偏差來(lái)識(shí)別威脅�����。這使它能夠識(shí)別范圍廣泛的威脅��,包括不使用惡意軟件或惡意內(nèi)容的威脅���。
自動(dòng)分析: UEBA 自動(dòng)收集和分析大量數(shù)據(jù)以構(gòu)建其模型并檢測(cè)異常事件���。這提供了有價(jià)值的上下文���,而無(wú)需安全分析師執(zhí)行此分析���。
提高安全性: UEBA 能夠識(shí)別內(nèi)部威脅和其他使用其他安全解決方案更難檢測(cè)的風(fēng)險(xiǎn)��。因此,它降低了組織遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)�����。
UEBA 與 NTA
UEBA 和網(wǎng)絡(luò)流量分析(NTA)——也稱(chēng)為網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)——都可以識(shí)別一些相同的威脅��,并且它們都使用類(lèi)似的技術(shù),例如機(jī)器學(xué)習(xí)和數(shù)據(jù)分析���。但是,它們不是相同的解決方案�����。例如,NTA 可以提供對(duì)組織網(wǎng)絡(luò)事件的更廣泛可見(jiàn)性���,而不僅僅是那些被標(biāo)記為異常的事件。另一方面�����,UEBA 解決方案提供對(duì)受監(jiān)控設(shè)備上本地事件的可見(jiàn)性��,而 NTA 僅具有對(duì)網(wǎng)絡(luò)級(jí)事件的可見(jiàn)性��。
UEBA 與 SIEM
UEBA 和安全信息與事件管理(SIEM) 解決方案都使用機(jī)器學(xué)習(xí)和數(shù)據(jù)分析來(lái)識(shí)別威脅。但是��,它們是旨在識(shí)別不同類(lèi)型威脅的不同解決方案��。
一般來(lái)說(shuō)�����,SIEM 解決方案更能夠識(shí)別不太復(fù)雜的一次性威脅,并且專(zhuān)注于安全管理�����。但是�����,他們可能無(wú)法了解更復(fù)雜和微妙的攻擊活動(dòng)。另一方面,UEBA 解決方案更側(cè)重于構(gòu)建用戶(hù)和設(shè)備的配置文件�����,并尋找與這些配置文件的偏差�����。這使他們能夠識(shí)別更微妙的攻擊并檢測(cè) SIEM 可能遺漏的內(nèi)部威脅��。
網(wǎng)站資訊
解決方案
服務(wù)支持
