UEBA,User and Entity Behavior Analytics,即用户与实体行为分析,主要是以用户和实体为对象,结合规则以及机器学习模型,对用户行为进行分析和异常检测,尽可能快速地感知内部用户的可疑非法行为。
相较于传统的安全设备分析外部威胁系统例如 SOC/SIEM(Security Operations Center/Security Information Event Management,安全运营中心/安全事件管理),UEBA更加聚焦于“异常用户”(即特权账号被盗用)和“用户异常”(即合法的人做不合法的事),其本身对海量告警信息并不关心。UEBA对企业内部威胁的分析场景更有优势,更侧重于关注用户的行为,可以从另一视角去发现问题。通常UEBA会与SIEM联动,针对外部数据和内部数据进行统一侦察分析,实现系统的多维度异常检测,对于将会产生的威胁进行及时告警,规避风险。
UEBA体系架构
在Microsoft Sentinel威胁事件调查环节,我们也可以利用UEBA来针对异常进行分析,得到更准确的安全事件结论。要使用UEBA调查,首先需要在Sentinel中开启UEBA的支持:
1 进入Sentinel,依次打开威胁管理->实体行为->实体行为设置。
2 在设置界面中,进入“配置UEBA”
3 启用UEBA功能,并选择数据源
4 进入实体分析页面,找到威胁最多的一台VM,查看该VM详情
5 使用调查,我们可以很清晰的分析出当前的所有威胁。
