OpenText 首頁。
技術主題

什麼是使用者與實體行為分析 (UEBA)?

以問號為重點的 IT 項目說明

概述

使用者與實體行為分析 (UEBA) 是一種網路安全解決方案,使用機器學習 (ML)、深度學習和統計分析來識別企業網路或電腦系統上使用者和實體 (例如主機、應用程式、網路流量和資料儲存庫) 的正常行為模式。當偵測到異常或偏離這些行為模式,且風險分數超過指定臨界值時,UEBA 解決方案會提醒安全作業中心 (SOC)團隊是否有潛在威脅或網路攻擊正在進行中。

UEBA 是現代組織網路安全堆疊中不可或缺的工具,尤其是許多傳統工具正快速過時。隨著網路罪犯和駭客變得越來越複雜,他們更容易繞過傳統的周邊防禦系統,例如安全網頁閘道 (SWG)、防火牆和其他入侵防禦工具。

如果您不熟悉 UEBA,本指南將幫助您分解。以下,我們將討論什麼是 UEBA 安全性、它如何運作、使用者行為分析 (UBA) 與 UEBA 之間的差異,以及 UEBA 最佳實務。

使用者與實體行為分析 (UEBA)

什麼是 UEBA 安全性?

許多傳統的網路安全工具僅使用統計分析和使用者定義的關聯規則來識別行為模式的異常或偏差。儘管這些工具能有效阻擋已知的威脅,但對於未知或零時差攻擊以及內部威脅,這些工具就顯得過時了。然而,有了 UEBA 安全性,SOC 團隊可以自動偵測整個企業網路或電腦系統中的異常行為 ,而無需依賴使用者定義的規則或模式。

UEBA 結合了 ML、深度學習和統計分析的力量,為 SOC 團隊提供更全面的威脅偵測軟體,讓組織能夠自動偵測跨越多位使用者和實體的複雜攻擊。此外,UEBA 解決方案可以將日誌和報告中的資料組合起來,並分析檔案和封包中的資訊。


UEBA 的安全性如何運作?

UEBA 的工作方式是從系統日誌中收集有關正常使用者和實體行為模式的資訊。接著,它會應用智慧型統計分析方法來詮釋每個資料集,並建立這些行為模式的基線。建立行為模式基線是 UEBA 的關鍵,因為這可讓系統偵測潛在的網路攻擊或威脅。

有了 UEBA 解決方案,目前的使用者和實體行為會持續與各自的基線進行比較。UEBA網路威脅情報 軟體隨後會計算風險分數,並識別任何行為模式異常或偏差是否有風險。如果風險分數超過某個限值,UEBA 系統就會提醒 SOC 團隊成員。

舉例來說,如果使用者每天固定下載 5 MB 的檔案,但突然開始下載價值數千 GB 的檔案,UEBA 解決方案就會識別出這種使用者行為模式偏差,並提醒 IT 可能存在的安全威脅。

根據 Gartner,UEBA 解決方案是由三個核心屬性所定義的:

  1. 使用個案:UEBA 解決方案應能分析、偵測、報告及監控使用者與實體的行為模式。而且,與過去的點解決方案不同,UEBA 應該著重於多種使用個案,而非只專注於專業分析,例如可信主機監控或詐欺偵測。
  2. 分析:UEBA 解決方案應提供先進的分析功能,可在單一套件中使用多種分析方法偵測行為模式異常。這些包括統計模型和機器學習(ML),以及規則和簽章。
  3. 資料來源:UEBA 解決方案應能從資料來源或現有資料儲存庫 (例如 安全資訊與事件管理 (SIEM)、資料倉庫或資料湖),原生地擷取使用者和實體活動的資料。

UBA 工具與 UEBA 工具的差異

根據 Gartner 的定義,使用者行為分析 (UBA) 是 UEBA 的前身,因為它是一種網路安全工具,可嚴格分析網路或電腦系統上的使用者行為模式。雖然 UBA 解決方案仍可運用進階分析來識別行為模式異常,但卻無法分析其他實體,例如路由器、伺服器和端點。

Gartner 後來更新了 UBA 的定義,並創造了 UEBA,其中包括使用者和實體 (個別或同儕群組) 的行為分析。UEBA 解決方案比 UBA 解決方案更為強大,因為它們使用 ML 和深度學習來識別複雜的攻擊 - 例如跨個人、裝置和網路 (包括雲端網路) 的內部威脅 (例如資料外洩)、進階持續威脅或零時差攻擊,而非依賴使用者定義的關聯規則。


UEBA 最佳實務

根據經驗,UEBA 工具不應取代現有的網路安全工具或監控系統,例如 CASB 或入侵偵測系統 (IDS)。相反地,UEBA 應該納入您的整體安全堆疊,以強化組織的整體安全勢態。其他 UEBA 最佳實務包括

  • 確保只有指定的 IT 成員才能收到 UEBA 系統警示。
  • 將有權限和無權限使用者帳戶都視為潛在風險。
  • 針對內部和外部威脅建立新政策和規則。
  • 將 UEBA 與 SIEM 等大資料安全分析結合,使其能更有效地偵測和分析複雜或未知的威脅。

透過 OpenText™ Behavioral Signals 部署 UEBA

進階使用者與實體行為分析方面,OpenText Behavioral Signals 能協助您的組織抵禦複雜的網路威脅。透過提供企業內部使用者與實體行為模式的脈絡化視圖,我們這套功能強大的 UEBA 工具能為您的 SOC 團隊提供全面的工具,讓您在為時已晚之前,即可直觀呈現並調查各種威脅,例如內部威脅與 APT 攻擊


利用 OpenText 遏止內部威脅

此外,我們的異常偵測模型並不會預期每個使用者或實體都會呈現相同的行为模式——這意味著您無需處理大量誤報警訊。透過 OpenText Behavioral Signals 技術,我們的軟體運用數學機率與無監督機器學習,精準識別網路威脅,從而明確區分異常行為與真實威脅。

如果您已準備好了解 OpenText Behavioral Signals 如何運用 UEBA 解決方案,協助您的 SOC 團隊迅速發掘企業網路中的隱藏威脅,歡迎立即申請產品演示。

我們能如何幫助您?

註腳