为什么选择 OpenText
概述 为什么选择 OpenText
OpenText 拥有数十年的专业经验,可帮助您解锁数据、连接人员和流程,并以信任为 AI 提供动力
AI 领导力
概述 Aviator AI
以全新方式查看信息
OpenText™ Aviator AI
能够理解您的业务、数据和目标的 AI
OpenText™ MyAviator
迎接更快的决策。您安全的 AI 个人助理已准备就绪,随时开始工作
OpenText™ Business Network Aviator
利用生成式 AI 为供应链获取更深入的见解
OpenText™ Content Aviator
利用 AI 内容管理和智能 AI 内容助手实现高效工作
OpenText™ Cybersecurity Aviator
通过 AI 网络安全和敏捷威胁检测提升您的安全态势
OpenText™ DevOps Aviator
实现更快的应用交付、开发和自动化软件测试
OpenText™ Experience Aviator
提升客户沟通和体验,助力客户成功
OpenText™ Service Management Aviator
让用户、服务代理和 IT 人员能够找到他们所需的答案
Aviator AI
概述 Aviator AI
以全新方式查看信息
OpenText™ Aviator AI
能够理解您的业务、数据和目标的 AI
OpenText™ MyAviator
迎接更快的决策。您安全的 AI 个人助理已准备就绪,随时开始工作
OpenText™ Business Network Aviator
利用生成式 AI 为供应链获取更深入的见解
OpenText™ Content Aviator
利用 AI 内容管理和智能 AI 内容助手实现高效工作
OpenText™ Cybersecurity Aviator
通过 AI 网络安全和敏捷威胁检测提升您的安全态势
OpenText™ DevOps Aviator
实现更快的应用交付、开发和自动化软件测试
OpenText™ Experience Aviator
提升客户沟通和体验,助力客户成功
OpenText™ Service Management Aviator
让用户、服务代理和 IT 人员能够找到他们所需的答案
分析
概述 Analytics
在更智能的数据平台上,通过实时分析来预测、采取行动并取得胜利
OpenText™ Aviator Search(AI)
通过多存储库的基于 AI 的搜索,用户可以更快、更轻松地获取所需答案,并能将从点击到对话的所有内容进行情境化处理
商业网络
概述 Business Network
一次连接,即可通过安全的 B2B 集成平台触达一切
OpenText™ Business Network Aviator(AI)
彻底革新云互联网的连接方式
内容
概述 Content
利用 AI 就绪的内容管理解决方案重新构想知识
网络安全
概述 Cybersecurity
用于企业保护的集成网络安全解决方案
面向中小企业和托管服务提供商的 OpenText 网络安全解决方案
专用数据保护和安全解决方案
OpenText™ Cybersecurity Aviator(AI)
利用敏捷 AI 的强大功能重新定义威胁狩猎,以提升安全态势
DevOps
概述 DevOps
通过 AI 驱动的 DevOps 自动化、测试和质量,更快地交付更优质的软件
可观测性和服务管理
概述 Observability and Service Management
获得所需的清晰度,以降低 IT 运营的成本和复杂性
OpenText™ Service Management Aviator(AI)
利用私有生成式 AI 的自助服务功能重新定义一级业务支持功能
API
概述 APIs
利用成熟的 OpenText 信息管理技术构建自定义应用程序
OpenText™ API Services
使用 OpenText 云 API 按自己的方式构建,这些 API 可创建实时信息流,从而支持自定义应用程序和工作流
Device and Data Protection
概述 Device and Data Protection
保护重要内容,在关键时刻进行恢复
统一端点管理工具
- OpenText™ Endpoint Management
- OpenText™ ZENworks Suite
- OpenText™ ZENworks Service Desk
- OpenText™ ZENworks Configuration Management
- OpenText™ ZENworks Endpoint Security Management
- OpenText™ ZENworks Full Disk Encryption
- OpenText™ ZENworks Endpoint Software Patch Management
- OpenText™ ZENworks Asset Management
可信数据与 AI
概述 可信数据与 AI
安全信息管理与可信的 AI 相结合
OpenText AI Data Platform
提升数据和 AI 信任度的统一数据框架
OpenText Aviator Studio
在这里,您可以使用数据语言构建、部署和迭代代理
OpenText Discovery
一套用于帮助摄取数据和自动化元数据标记,以推动 AI 发展的工具
OpenText 数据合规
一套使治理具有主动性和持久性的服务和 API
OpenText Aviator AI 服务
专业服务专家助您踏上 AI 之旅
人工智能
概述 Aviator AI
以全新方式查看信息
OpenText™ Aviator AI
能够理解您的业务、数据和目标的 AI
OpenText™ MyAviator
迎接更快的决策。您安全的 AI 个人助理已准备就绪,随时开始工作
OpenText™ Business Network Aviator
利用生成式 AI 为供应链获取更深入的见解
OpenText™ Content Aviator
利用 AI 内容管理和智能 AI 内容助手实现高效工作
OpenText™ Cybersecurity Aviator
通过 AI 网络安全和敏捷威胁检测提升您的安全态势
OpenText™ DevOps Aviator
实现更快的应用交付、开发和自动化软件测试
OpenText™ Experience Aviator
提升客户沟通和体验,助力客户成功
OpenText™ Service Management Aviator
让用户、服务代理和 IT 人员能够找到他们所需的答案
什么是用户和实体行为分析(UEBA)?
概述
用户和实体行为分析(UEBA)是一种网络安全解决方案,它利用机器学习(ML)、深度学习和统计分析来识别企业网络或计算机系统中用户和实体(如主机、应用程序、网络流量和数据存储库)的正常行为模式。当检测到异常或偏离这些行为模式,且风险分数超过指定阈值时,UEBA 解决方案就会提醒安全运营中心 (SOC)团队是否正在发生潜在威胁或网络攻击。
UEBA 是现代组织网络安全堆栈中必不可少的工具,尤其是在许多传统工具迅速过时的情况下。随着网络罪犯和黑客变得越来越复杂,他们可以更容易地绕过传统的外围防御系统,如安全网络网关(SWG)、防火墙和其他入侵防御工具。
如果您对 UEBA 不熟悉,本指南将为您详细介绍。下面,我们将讨论什么是 UEBA 安全性、它是如何工作的、用户行为分析 (UBA) 和 UEBA 之间的区别以及 UEBA 最佳实践。
用户和实体行为分析 (UEBA)
什么是 UEBA 安全?
许多传统网络安全工具仅使用统计分析和用户定义的相关规则来识别行为模式异常或偏差。虽然这些工具在挫败已知威胁方面很有效,但在应对未知或零日攻击以及内部威胁时,它们就显得过时了。然而,有了 UEBA 安全技术,SOC 团队可以自动检测整个公司网络或计算机系统中的异常行为 ,而无需依赖用户定义的规则或模式。
UEBA 结合了 ML、深度学习和统计分析的强大功能,为 SOC 团队提供更全面的威胁检测软件,使企业能够自动检测跨多个用户和实体的复杂攻击。此外,UEBA 解决方案还可以在日志和报告中汇总数据,并分析文件和数据包中的信息。
UEBA 安全系统如何运作?
UEBA 的工作原理是从系统日志中收集有关正常用户和实体行为模式的信息。然后,它应用智能统计分析方法来解释每个数据集,并建立这些行为模式的基线。建立行为模式基线是 UEBA 的关键,因为这可以让系统检测到潜在的网络攻击或威胁。
通过 UEBA 解决方案,当前的用户和实体行为会不断与其各自的基线进行比较。然后,UEBA网络威胁情报 软件会计算风险分数,并确定任何行为模式异常或偏差是否具有风险。如果风险得分超过一定限度,UEBA 系统就会向 SOC 小组成员发出警报。
例如,如果用户每天定期下载 5 MB 的文件,然后突然开始下载价值千兆字节的文件,那么 UEBA 解决方案就会识别这种用户行为模式偏差,并提醒 IT 部门注意可能的安全威胁。
Gartner 认为,UEBA 解决方案有三个核心属性:
- 使用案例:UEBA 解决方案应能分析、检测、报告和监控用户和实体的行为模式。而且,与过去的点解决方案不同,UEBA 应关注多种用例,而不是只关注专业分析,如可信主机监控或欺诈检测。
- 分析:UEBA 解决方案应提供高级分析功能,可在一个软件包中使用多种分析方法检测行为模式异常。其中包括统计模型和机器学习(ML),以及规则和签名。
- 数据源:UEBA 解决方案应能从数据源或通过现有数据存储库(如 安全信息和事件管理 (SIEM)、数据仓库或数据湖)从用户和实体活动中获取数据。
UBA 工具与 UEBA 工具的区别
根据 Gartner 的定义,用户行为分析(UBA)是 UEBA 的前身,因为它是一种严格分析网络或计算机系统上用户行为模式的网络安全工具。虽然 UBA 解决方案仍在应用高级分析技术来识别行为模式异常,但它们无法分析其他实体,如路由器、服务器和端点。
后来,Gartner 更新了 UBA 的定义,创建了 UEBA,其中包括对用户和实体(单独或同级)的行为分析。UEBA 解决方案比 UBA 解决方案更强大,因为它们使用 ML 和深度学习来识别跨个人、设备和网络(包括基于云的网络)的复杂攻击,如内部威胁(如数据外渗)、高级持续性威胁或零日攻击,而不是依赖用户定义的相关规则。
非洲大学最佳做法
根据经验,UEBA 工具不应取代已有的网络安全工具或监控系统,如 CASB 或入侵检测系统 (IDS)。相反,应将 UEBA 纳入整体安全堆栈,以增强组织的总体安全态势。UEBA 的其他最佳做法包括
- 确保只有指定的 IT 成员才能收到 UEBA 系统警报。
- 将有权限和无权限用户账户都视为潜在风险。
- 考虑到内部和外部威胁,制定新的政策和规则。
- 将 UEBA 与 SIEM 等大数据安全分析技术相结合,使其更有效地检测和分析复杂或未知的威胁。
利用 CyberRes Arcsight Intelligence 部署 UEBA
在 高级用户和实体行为分析方面,CyberRes(Micro Focus 的业务线)Arcsight Intelligence 可以帮助您的组织抵御复杂的网络威胁。我们的超强 UEBA 工具可提供企业内用户和实体行为模式的上下文视图,为您的 SOC 团队提供全面的工具来可视化和调查威胁(如内部威胁和 APT),以免为时已晚。
利用 ArcSight 行为分析阻止内部威胁
此外,我们的异常检测模型并不期望每个用户或实体都有相同的行为模式,这意味着您无需处理大量的假阳性警报。通过使用 ArcSight Intelligence,我们的软件可利用数学概率和无监督 ML 更准确地识别网络威胁,从而明确划分异常行为和真实威胁。
如果您想了解 ArcSight Intelligence 如何利用 UEBA 解决方案帮助您的 SOC 团队快速发现企业网络中隐藏的威胁,请立即申请演示。
相关产品
OpenText™ Core Behavioral Signals
主动检测内部风险、新型攻击和高级持续性威胁
OpenText™ Enterprise Security Manager
通过实时关联和原生 SOAR 加速威胁检测和响应
OpenText™ Cybersecurity Cloud
精确防御,放心安全
OpenText™ Security Log Analytics
通过可操作的深度安全洞察加速威胁检测
威胁检测和响应
发现并应对重要的网络威胁
威胁汇集研究促进业务绩效
OpenText ThreatHub 研究向您展示了威胁您组织的因素,以及您可以采取的应对措施。OpenText ThreatHub Research 由 CISO 打造,专为 CISO 服务,可帮助您加强网络复原力,并从战略上确保数字价值链的安全。
