User and entity behavior analytics (UEBA), also known as user behavior analytics (UBA), 是收集用户每天产生的网络事件的洞察力的过程吗. 一旦收集和分析,它可以用来 detect the use of compromised credentials、横向移动和其他恶意行为.
由于来自外部力量的威胁日益增加,Gartner市场指南在用户行为分析中增加了“实体”一词, rather than just individual users. These external forces include, but are not limited to, routers, servers, applications, 以及其他可能受到威胁的网络设备.
In summary, 这些其他类型的行为分析偏离了传统的消费者行为分析,将重点放在系统的行为和用户帐户上.
今天的网络收集了无穷无尽的信息, 特别是当用户在ip之间无缝移动时, assets, cloud services, and mobile devices. UBA侧重于用户活动,而不是静态威胁指标, 这意味着它可以检测到没有映射到威胁情报的攻击,并在攻击的早期对恶意行为发出警报.
As networks have become more complex, 成功渗透企业网络并伪装成内部员工比以往任何时候都要容易, circumventing external defenses. 如果攻击者能够渗透到网络中并在那里不被发现, 他们可以反复窃取敏感数据并造成经济损失.
User Behavior Analytics exposes stealthy, 攻击者通过发现用户行为中的模式来识别什么是“正常”行为, 这可能是入侵者入侵的证据, insider threats, or risky behavior on a network.
用户和实体行为分析使您能够更轻松地确定潜在威胁是伪装成员工的外部方还是呈现某种风险的实际员工, whether through negligence or malice.
UEBA将网络上的活动连接到特定的用户,而不是IP地址或资产. 这意味着如果用户开始以一种不寻常或不太可能的方式行事, 即使它没有被传统的外围监控工具标记出来, 你可以很快发现这种行为, determine whether it’s anomalous, and start an investigation if needed.
For example, 被盗凭证是渗透测试人员和现实世界中的犯罪分子使用的常见攻击媒介. 犯罪分子是否通过 phishing attacks, malware, key logging, or even a third-party data breach, all they need is one correct username and password combination to work; once they’re able to login they can silently move within a network undetected.
However, once an attacker is in, 他们通常开始表现出与正常用户不同的行为方式, such as by moving laterally between assets. 入侵者在通常被称为“攻击”或“杀伤链”的过程中一步一步地移动,“寻找越来越有趣的目标来突袭和窃取数据.
在一个网络上,什么样的用户行为是正常的,什么样的用户行为是不正常的,这种能力至关重要. 用户行为分析为您提供了识别趋势和轻松发现异常值的数据, 因此,您可以更轻松,更快速地识别和调查潜在的威胁和 break the attack chain.
To spot trends and make connections, 首先,你必须有办法在一个集中的位置收集关键的行为数据, 这样以后就可以用分析工具来解析了. 传统上,用户行为分析是作为一个层添加到现有的 安全信息和事件管理(SIEM) deployments.
用户和实体行为分析是多层分析的一部分, 综合资讯科技及资讯保安策略,防止攻击及调查威胁. 它可以是一种难以置信的强大工具,可以及早发现妥协, mitigate risk, 并阻止攻击者窃取组织的数据.
实施用户和实体行为分析对任何组织来说都是必要的,以确保他们免受内部伤害的安全. 近年来,随着物联网(IoT)和更多可能利用网络漏洞的设备的扩展,UEBA呈指数级增长.
无论您是试图定位可疑的内部威胁还是监视特权帐户, UEBA为IT基础设施提供了一条最新的安全防线,使其免受侵入性攻击.