什么是用户行为分析 (UBA)？

用户行为分析 (UBA) 是收集和分析用户活动数据的惯常做法，旨在基于用户的正常行为模式和偏好创建基线。通过为每个用户制定这些基线并依此监测他们的实时活动，UBA 可以帮助组织发现不正常行为。当发生可疑行为时，团队可以识别潜在的安全威胁、未经授权的访问尝试和数据泄露。

用户行为分析的工作原理就是收集并分析系统或网络中的用户活动数据。下面我们简单了解一下它的工作原理：

首先，UBA 会从 IT 环境中的各种来源和区域收集用户的相关数据，例如日志文件、网络流量和应用程序使用情况。然后，UBA 通过一个称为行为分析的过程为用户建立正常行为的基线（包括用户参与的常见活动和互动，以及用户的地理位置等被动信息）。

接下来，UBA 会应用 Machine Learning、统计建模和其他高级分析技术来检测与用户基线或同行的行为偏差，这些偏差可能表明存在未经授权的访问尝试和其他安全威胁。UBA 会检查这些异常，以确定其潜在风险，然后根据严重性赋予风险评分。

如果异常检测超过检测规则的风险阈值，该技术就会向安全团队发出告警，以便他们对潜在恶意活动进行调查并采取应对措施。

UBA 可确保用户的基线不断发展，避免停滞不前，以通过每个操作改进用户的行为特征。Machine Learning 会通过寻找新的活动模式和其他新数据不断更新分析结果。随着时间的推移，这有助于它更准确地发现异常。

用户行为分析有助于组织检测和应对通过用户帐户带来的威胁，例如内部威胁、帐户泄露以及权限误用和滥用。内部威胁和帐户接管的迹象包括：

• 用户访问以前从未使用过的数据库并下载敏感数据
• 用户下载异常大量的数据
• 用户探索/访问可疑系统或应用程序
• 用户的行为与其他从事相同工作的人员有明显不同

UBA 还可以检测外部攻击者和其他外部威胁。外部攻击的一些示例包括：

用户从不常出现的位置登录，表明存在帐户入侵

• 暴力攻击，例如反复登录尝试失败或奇怪的登录模式，这可能表明攻击者试图获得访问权限
• 可疑的网络活动，例如指令控制通信或数据渗漏尝试
• 其他恶意行为，例如试图提升权限，利用漏洞或执行未经授权的操作

借助 UBA，团队可以分析导致安全事件的用户活动，了解事件的范围，并采取适当的措施来减轻影响。分析人员可获得基于证据的调查起点、用于有效分析的全面可视化信息，以及对数据的直接访问权限，从而实现快速响应。通过监测用户行为是否违反策略，UBA 不仅可以检测出潜在的内部威胁，而且还有助于组织遵守合规性要求。

UEBA（用户和实体行为分析）可根据整体用户模式的变化不断进行调整，以微调触发告警阈值的内容。对于从事相同工作的员工，它可以创建同行群体比较，从而能够检测相对于同行的异常情况。这样，用户配置文件中的共享更改就不太可能出现需要调查的异常情况，而没有足够数据作为基线的用户帐户则可以将其活动与同行进行基准比较。

用户和实体行为分析 (UEBA) 是分析公司 Gartner 于 2015 年提出的一个网络安全概念。UEBA 反映了 UBA 目标的扩展。

UEBA 不仅分析用户行为，还会查看系统中其他实体（如设备和终端）的行为，从而拓宽了 UBA 的应用范围。UEBA 可以评估用户和实体的活动，以清楚了解整体安全状况。通过监测和关联各种数据点（如用户行为、主机活动和网络流量），UEBA 可以识别可能表明存在恶意活动的异常。

UBA 和 UEBA 都可与其他安全系统和工具集成，例如信息安全和事件管理 (SIEM) 系统、数据丢失防护 (DLP) 解决方案和 EDR。这些集成可让您更全面、综合地了解威胁和事件，从而增强系统的整体安全性。

UBA 和 EDR 之间的区别在于，终端检测和响应是一种网络安全解决方案，可在终端级别监测和响应安全事件。终端是指连接到网络的笔记本电脑、服务器和其他设备。而 UBA 则侧重于分析和监测系统或网络中单个用户的行为模式。

EDR 需要将传感器部署到这些终端，并直接从中收集数据。EDR 旨在检测和响应各种基于终端的威胁，包括恶意软件感染和未经授权的访问尝试。安全团队可以将 UBA 和 EDR 配合使用，作为深度防御网络安全战略的一部分。

用户行为分析有一些挑战需要考虑：

• UBA 需要依赖于准确且全面的数据来生成有意义的见解。如果数据源不完整、不一致或存在其他数据质量问题，都会限制其有效性。
• 作为一种不确定性分析工具，UBA 的不足之处在于，它无法检测到每一个真正的异常。相对于基于规则的方法，UBA 通常在应对新攻击向量和新型复杂技术方面表现更为出色，但它并不完美。
• 相反，UBA 算法会对正常用户行为产生误报告警。这可能会给团队带来不必要的工作。
• 如果您出于进行 UBA 来收集和分析用户数据，则可能会遇到隐私和道德方面的问题。您的组织需要确保有适当的同意与隐私保护措施。
• UBA 可处理网络中所有用户生成的大量数据。如果技术准备不足，处理和分析如此大量的数据可能会使系统资源不堪重负。

您的组织可以通过在适当的数据安全机制、规范化和存储实践方面投入更多时间来克服这些挑战。其他优先事项可能包括确保隐私合规性，并将 UBA 与其他安全措施配合使用，以制定全面的防御策略。

利用 Elastic 安全先进的安全分析技术，快速、大规模地预防、调查和应对威胁。Elastic 安全能够：

• 持续监测：从整个数字环境中收集和准备数据，无限期地保留数据，并有效地进行分析。
• 调查和响应：让您的团队快速访问多年的数据、灵活的工作流和端到端的协作功能。
• 自动威胁防护：实时监测和保护您的整个数字环境，降低风险。
• 威胁猎捕：获得所需的速度、有价值的见解和丰富的背景信息，将意料之中和之外的威胁一网打尽。

今天开始使用 Elastic 安全，明天就能保护您的组织。

网络安全：保护计算机系统、网络和数据免受数字威胁和未经授权访问的惯常做法。它需要实施各种措施和技术，以保护信息、维护隐私，并防止数字资产受到干扰或损坏。目标是确保数据的安全性、完整性和可用性，并缓解与网络攻击和漏洞相关的风险。

信息安全和事件管理 (SIEM)：一种网络安全解决方案，可收集和分析来自多个来源的数据，以检测和应对安全事件。它提供实时监测、威胁检测和事件响应功能，帮助组织增强整体安全性并防范网络威胁。

安全编排、自动化和响应 (SOAR)：一种网络安全解决方案，整合了多种工具、流程和工作流，可简化事件响应、自动执行常规任务并促进安全团队之间的协作。SOAR 可提高安全运营的效率和有效性，从而更快地应对威胁。

调查和事件响应：识别、分析和减轻组织计算机系统或网络中的安全事件和漏洞的过程。这个过程包括：收集证据、进行取证分析和实施纠正措施，以最大限度地减少事件的影响并避免此类事件再次发生。

威胁防护：为防范潜在数字安全威胁而实施的措施和策略。这包括识别、分析和减轻各种网络威胁（如恶意软件、网络钓鱼、黑客攻击和内部攻击）带来的风险。

• 使用 Elastic Cloud 上的 Elastic Stack 进行用户行为分析
• Elastic 安全有助于实现 SIEM 与安全分析
• CISO 下一步应采用的 3 项技术以提升组织弹性和推动业务增长