Tekniska ämnen

Vad är UEBA (User and Entity Behavior Analytics)?

Illustration av IT-objekt med fokus på ett frågetecken

Översikt

User and Entity Behavior Analytics (UEBA) är en typ av cybersäkerhetslösning som använder maskininlärning (ML), djupinlärning och statistisk analys för att identifiera normala beteendemönster hos användare och enheter (t.ex. värdar, applikationer, nätverkstrafik och datalager) i företagsnätverk eller datorsystem. När anomalier eller avvikelser från dessa beteendemönster upptäcks och en riskpoäng passerar ett angivet tröskelvärde, varnar en UEBA-lösning team på säkerhetsoperationscentret (SOC) om huruvida ett potentiellt hot eller en cyberattack pågår.

UEBA är ett viktigt verktyg i en modern organisations cybersäkerhetsstack, särskilt som många äldre verktyg snabbt blir föråldrade. I takt med att cyberbrottslingar och hackare blir alltmer sofistikerade kan de lättare kringgå traditionella försvarssystem som secure web gateways (SWG), brandväggar och andra verktyg för att förhindra intrång.

Om du inte är bekant med UEBA är den här guiden här för att hjälpa dig att bryta ner det. Nedan kommer vi att diskutera vad UEBA-säkerhet är, hur det fungerar, skillnaden mellan User Behavior Analytics (UBA) och UEBA samt bästa praxis för UEBA.

Analys av användar- och entitetsbeteenden (UEBA)

Vad är UEBA-säkerhet?

Många äldre cybersäkerhetsverktyg identifierade avvikelser i beteendemönster enbart med hjälp av statistisk analys och användardefinierade korrelationsregler. Även om dessa verktyg är effektiva för att motverka kända hot är de föråldrade när det gäller okända eller nolldagsattacker och insiderhot. Med UEBA-säkerhet kan SOC-teamen däremot automatiskt upptäcka ovanliga beteenden i hela företagsnätverk eller datorsystem utan att förlita sig på användardefinierade regler eller mönster.

UEBA kombinerar kraften i ML, djupinlärning och statistisk analys för att förse SOC-team med mer omfattande programvara för hotdetektering- vilket gör det möjligt för organisationer att automatiskt upptäcka komplexa attacker över flera användare och enheter. Dessutom kan en UEBA-lösning gruppera data i loggar och rapporter samt analysera information i filer och paket.

Hur fungerar UEBA:s säkerhet?

UEBA samlar in information om normala beteendemönster hos användare och enheter från systemloggar. Därefter används intelligenta statistiska analysmetoder för att tolka varje dataset och upprätta baslinjer för dessa beteendemönster. Att etablera baslinjer för beteendemönster är nyckeln till UEBA, eftersom det gör det möjligt för systemet att upptäcka potentiella cyberattacker eller hot.

Med en UEBA-lösning jämförs aktuella beteenden hos användare och enheter kontinuerligt med deras individuella baslinjer. UEBA:s programvara för underrättelse om cyberhot beräknar sedan riskpoäng och identifierar om några avvikelser eller anomalier i beteendemönstret är riskabla. Om en riskpoäng överskrider en viss gräns varnar UEBA-systemet medlemmarna i SOC-teamet.

Om en användare till exempel regelbundet laddar ner 5 MB filer varje dag och sedan plötsligt börjar ladda ner filer värda gigabyte, skulle en UEBA-lösning identifiera denna avvikelse i användarens beteendemönster och varna IT-avdelningen för ett eventuellt säkerhetshot.

Enligt Gartner definieras en UEBA-lösning av tre kärnegenskaper:

Användningsfall: En UEBA-lösning ska kunna analysera, upptäcka, rapportera om och övervaka beteendemönster för både användare och enheter. Och till skillnad från tidigare punktlösningar bör UEBA fokusera på flera användningsområden snarare än att bara fokusera på specialiserad analys - till exempel övervakning av betrodda värdar eller bedrägeridetektering.
Analys: En UEBA-lösning bör erbjuda avancerade analysfunktioner som kan upptäcka avvikande beteendemönster med hjälp av flera analysmetoder i ett och samma paket. Dessa inkluderar statistiska modeller och maskininlärning (ML), samt regler och signaturer.
Datakällor: En UEBA-lösning bör kunna ta in data från användar- och enhetsaktiviteter både direkt från datakällorna eller via ett befintligt datalager (t.ex. SIEM (Security Information and Event Management), datalager eller en datasjö).

Skillnader mellan UBA-verktyg och UEBA-verktyg

Enligt Gartners definition var User Behavior Analytics (UBA) föregångaren till UEBA, eftersom det var ett cybersäkerhetsverktyg som enbart analyserade användarnas beteendemönster i nätverk eller datorsystem. Även om UBA-lösningar fortfarande använde avancerad analys för att identifiera avvikelser i beteendemönster kunde de inte analysera andra enheter, till exempel routrar, servrar och slutpunkter.

Gartner uppdaterade senare definitionen av UBA och skapade UEBA - som omfattade beteendeanalys av både användare och enheter (antingen individuellt eller i grupper). UEBA-lösningar är mer kraftfulla än UBA-lösningar, eftersom de använder ML och djupinlärning för att känna igen komplexa attacker - t.ex. insiderhot (t.ex. datautträngning), avancerade ihållande hot eller nolldagsattacker - över individer, enheter och nätverk (inklusive molnbaserade nätverk) i stället för att förlita sig på användardefinierade korrelationsregler.

UEBA:s bästa praxis

En tumregel är att UEBA-verktyg inte ska ersätta befintliga cybersäkerhetsverktyg eller övervakningssystem, till exempel CASB eller IDS (Intrusion Detection System). Istället bör UEBA införlivas i den övergripande säkerhetspaketen för att förbättra organisationens övergripande säkerhetsställning. Andra UEBA-bästa metoder inkluderar:

Se till att endast utsedda IT-medlemmar får UEBA:s systemvarningar.
Betrakta både privilegierade och icke-privilegierade användarkonton som potentiellt riskabla.
Skapa nya policyer och regler med både interna och externa hot i åtanke.
Kombinera UEBA med säkerhetsanalys av stora datamängder, t.ex. SIEM, för att göra dem mer effektiva när det gäller att upptäcka och analysera komplexa eller okända hot.

Implementera UEBA med CyberRes Arcsight Intelligence

När det gäller avancerad analys av användar- och enhetsbeteende kan CyberRes (en del av Micro Focus ) Arcsight Intelligence hjälpa din organisation att hålla sig skyddad mot komplexa cyberhot. Vårt UEBA-verktyg ger en kontextualiserad bild av både användares och enheters beteendemönster i ditt företag och ger ditt SOC-team omfattande verktyg för att visualisera och undersöka hot - till exempelinsiderhot och APT - innandet är för sent.

Stoppa insiderhot med hjälp av ArcSight beteendeanalys

Dessutom förväntar sig våra modeller för anomalidetektering inte samma beteendemönster från alla användare eller enheter - vilket innebär att du inte behöver hantera en flod av falskt positiva varningar. Med hjälp av ArcSight Intelligence skapar vår programvara en tydlig gräns mellan ovanligt beteende och verkliga hot genom att använda matematisk sannolikhet och oövervakad ML för att identifiera cyberhot mer exakt.

Om du är redo att se hur ArcSight Intelligence använder en UEBA-lösning för att hjälpa ditt SOC-team att snabbt avslöja dolda hot i ditt företagsnätverk, är du välkommen att begära en demo idag.

Resurser

Hot från insider: Ett problem som är för avancerat för att lösas av en maskin

Podcasten Människor och maskiner: Insiderhot AI, i den verkliga världen

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

AnalysdatabasAnalysdatabas

Analys av ostrukturerad dataAnalys av ostrukturerad data

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

FöretagssökningFöretagssökning

Aviator Sök

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstjänster för B2BIntegrationstjänster för B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Affärsnätverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

Integration av företagIntegration av företag

Insamling och intelligent dokumentbearbetningInsamling och intelligent dokumentbearbetning

Information ArchivingInformation Archiving

ProcessautomatiseringProcessautomatisering

InformationsstyrningInformationsstyrning

Innehåll Aviator

Cybersecurity CloudCybersecurity Cloud

ApplikationssäkerhetApplikationssäkerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Underrättelser om hotUnderrättelser om hot

Upptäckt och hantering av hotUpptäckt och hantering av hot

Cybersäkerhet Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud teknisk dokumentationDeveloper Cloud teknisk dokumentation

Aviator Tryckkraft

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Funktionell testningFunktionell testning

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Webb- och varumärkesupplevelserWebb- och varumärkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Analys av kontaktcenterAnalys av kontaktcenter

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

ServicehanteringServicehantering

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

NätverkshanteringNätverkshantering

IT-drift Aviator

PortfolioPortfolio

Dataskydd och säkerhetskopiering av slutpunkterDataskydd och säkerhetskopiering av slutpunkter

Endpoint-hantering och mobil säkerhetEndpoint-hantering och mobil säkerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datasäkerhetArkivering, eDiscovery och datasäkerhet

Information i ny tappningInformation i ny tappning

Artificiell intelligensArtificiell intelligens

IndustriIndustri

FöretagsapplikationerFöretagsapplikationer

Din resa till framgångDin resa till framgång

KundtjänstKundtjänst

Tjänster för kundframgångTjänster för kundframgång

Strategi & rådgivningStrategi & rådgivning

KonsulttjänsterKonsulttjänster

Tjänster för lärandeTjänster för lärande

Managed ServicesManaged Services

Hitta en partner på OpenTextHitta en partner på OpenText

Hitta en partnerlösningHitta en partnerlösning

Växa som partnerVäxa som partner

Bli en partner

TillgångsbibliotekTillgångsbibliotek

BloggarBloggar

HändelserHändelser

SamhällenSamhällen

Utvalda

Analytics Cloud

Analysdatabas

Analys av ostrukturerad data

Business Intelligence och rapportering

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Företagssökning

Business Network Cloud

Integration av leveranskedjan

Integrationstjänster för B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

Integration av företag

Insamling och intelligent dokumentbearbetning

Information Archiving

Processautomatisering

Informationsstyrning

Cybersecurity Cloud

Applikationssäkerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Underrättelser om hot

Upptäckt och hantering av hot

Developer Cloud

Information Management Services

Developer Cloud teknisk dokumentation

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Funktionell testning

Prestandateknik

Experience Cloud

Webb- och varumärkesupplevelser

Meddelanden

Kundresa och data

Media Management

Analys av kontaktcenter

IT Operations Cloud

Servicehantering

FinOps

AIOps och observerbarhet

Automatisering

Nätverkshantering

Portfolio

Dataskydd och säkerhetskopiering av slutpunkter

Endpoint-hantering och mobil säkerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datasäkerhet

Information i ny tappning

Artificiell intelligens

Industri

Företagsapplikationer

Din resa till framgång

Kundtjänst

Tjänster för kundframgång

Strategi & rådgivning

Konsulttjänster

Tjänster för lärande

Managed Services

Hitta en partner på OpenText

Hitta en partnerlösning

Växa som partner

Tillgångsbibliotek

Bloggar

Händelser

Samhällen

Kundberättelser

OpenText Navigator