UEBA
User and Entity Behavior Analytics,即为用户实体行为剖析,此前,也称其为用户行为剖析(UBA)
- 实际上,UEBA 就是应用大型数据集对网络中人类和机器的典型和非典型行为进行建模。并通过定义此类基线,能够辨认传统防病毒软件可能无奈检测到的可疑行为、潜在威逼和攻打
- 这也意味着 UEBA 能够剖析用户各种行为模式
- UEBA 应用这些模型来评估威逼级别,创立有助于领导适当响应的危险评分
- UEBA 越来越多地应用机器学习来辨认失常行为,并对暗示外部威逼、横向挪动、受损帐户和攻打的危险偏差收回警报
利用场景
UEBA 零碎接入数据防泄露零碎、门禁、上网行为、邮件、堡垒机、终端治理、工单等系统日志,通过关联和比照等剖析形式,对数据泄露、账号失陷、到职偏向、违规操作、登录凭证滥用等场景进行检测剖析并实现多维度智能可视化
数据泄露
据统计,每 400 封邮件中就有 1 封蕴含敏感信息,每 50 份通过网络传输的文件中就有 1 份蕴含敏感数据,每 2 个 U 盘中就有 1 个蕴含敏感信息
外部员工歹意攻打窃取敏感数据是典型的数据泄露场景,因为外部员工具备企业数据资产非法的拜访权限,且通常理解企业敏感数据的寄存地位,因而通过传统的平安审计伎俩无奈无效检测该类行为。
- UEBA 能够通过对数据防泄露零碎、邮件、U 盘、终端治理、打印机等日志进行关联剖析,从而发现可疑下载及外发文件等异样操作
到职偏向
很多员工在行将到职时会拜访招聘网站寻求机会,在本地制作或保留简历文件并上传或外发给招聘人员时,也会将公司的一些材料或者本人的工作成绩下载保留到私人 U 盘或网盘等
到职偏向次要通过终端治理、上网行为等日志,剖析出员工是否存在大量的拜访招聘网站、外发简历、U 盘拷贝、打印、网盘或邮件外传文档等可疑行为。企业还能够进一步关注具备到职偏向的员工,是否有蚂蚁搬家式窃取数据或歹意删除数据等行为
违规操作
在企业日常经营过程中,高权账户滥用、本地保留密码文件、门禁卡共用、未应用规定机器执行操作等未依照企业规定进行的操作行为十分广泛,但根本无从发现。于是,外部员工往往抱有侥幸心理,在日常工作中仍旧执行违规的高风险操作,而这些高风险操作随时都可能影响到业务的失常运行
- UEBA 能够帮忙企业针对门禁、终端治理、邮件、审计等日志进行剖析,对特定行为进行监控,及时发现违规操作
剖析形式
UEBA 零碎发现异常的剖析形式次要有高频剖析、常见行为剖析、个群行为剖析和自动化行为剖析等
高频剖析
高频剖析次要是通过行为基线剖析,将用户某类行为或多类行为与其历史过往基线进行比照,发现偏离水平较大的行为
- 例如,从 AD 登录数据中,帮忙企业发现员工 A 的当日登录次数与素日登录次数有较大偏离,则可能存在异样
常见行为剖析
失常用户办公过程中,往往会呈现肯定的反复行为,当一些少见的行为被零碎发现,则可能存在异样
- 例如,零碎发现服务器上执行了不常见的命令,像“rm –rf /*”等,或发现有相干邮件发送给了不常见的收件人
个群行为剖析
同部门的员工往往行为较为统一,通过将个人行为与群体行为进行比照,可能从中发现集体的异样行为,比照指标可思考部门的文档拷贝基线、接入外设频率等
参考资料:
https://baijiahao.baidu.com/s?id=1741493615131431746&wfr=spid…
https://zhuanlan.zhihu.com/p/381958080