目錄
- 用戶與實體行為分析(UEBA)簡介
- 一、UEBA的核心概念
- 1. 行為基線建立
- 2. 異常檢測
- 3. 風險評分
- 4. 上下文關聯
- 二、UEBA的應用場景
- 1. 內部威脅檢測
- 2. 外部威脅應對
- 3. 合規性和審計支持
- 三、UEBA的技術實現
- 1. 大數據技術
- 2. 機器學習算法
- 3. 可視化工具
- 四、UEBA的優勢與挑戰
- 1. 優勢
- 2. 挑戰
- 五、平臺的 UEBA 實現
- 1. 行為告警配置流程
- 2. 詳細步驟
用戶與實體行為分析(UEBA)簡介
用戶與實體行為分析(User and Entity Behavior Analytics,簡稱 UEBA)是一種先進的安全分析方法,用于識別和響應潛在的安全威脅。它通過分析用戶和系統的行為模式來檢測異常活動,尤其是那些可能表明存在內部威脅或高級持續性威脅(APT)的情況。
一、UEBA的核心概念
1. 行為基線建立
- 定義正常行為:UEBA首先需要為每個用戶、設備或其他實體建立一個“正常”的行為模式或基準線。這包括記錄用戶的日常活動,如登錄時間、訪問的資源類型、使用的應用程序等。
- 動態調整:這些基準線不是靜態的,而是根據實際數據進行動態更新,以適應正常的業務變化。例如,員工的工作職責改變后,其行為模式也會隨之變化。
2. 異常檢測
- 偏差識別:一旦建立了行為基線,UEBA系統會實時監控并比較當前行為與基準線之間的差異。任何顯著偏離正常模式的行為都會被標記為可疑。
- 多維度分析:UEBA不僅關注單個指標的變化,還會結合多個維度的數據進行綜合評估,如地理位置、設備類型、時間段等。例如,如果某個賬戶突然從不常用的IP地址登錄,并且訪問了敏感數據,那么這種行為就會觸發告警。
3. 風險評分
- 量化威脅程度:對于每一個檢測到的異常行為,UEBA系統會計算出一個風險評分,表示該行為對組織構成的潛在威脅程度。高風險評分意味著需要立即采取行動。
- 優先級排序:基于風險評分,安全團隊可以優先處理最嚴重的威脅,確保有限的資源得到高效利用。
4. 上下文關聯
- 情境感知:UEBA不僅僅依賴于單一的數據源,而是整合了來自不同系統的日志和事件數據,提供更全面的情境信息。例如,結合身份管理系統(IAM)、網絡流量分析(NTA)和終端檢測與響應(EDR)的數據,可以更好地理解某個異常行為的背景。
- 攻擊鏈分析:通過關聯多個相關事件,UEBA可以幫助識別完整的攻擊鏈條,揭示復雜的攻擊路徑,如橫向移動或數據滲漏。
二、UEBA的應用場景
1. 內部威脅檢測
- 惡意內部人員:UEBA能夠發現員工或承包商的異常行為,如未經授權的數據訪問、大量文件下載或頻繁嘗試登錄失敗等,這些都可能是內部人員企圖竊取公司機密的跡象。
- 賬戶盜用:當合法用戶的憑據被盜用時,UEBA可以通過對比當前行為與該用戶的典型行為模式,快速識別出異常情況。
2. 外部威脅應對
- 高級持續性威脅(APT):APT通常采用長期潛伏和低頻次攻擊的方式,傳統的安全工具難以察覺。UEBA通過對長時間跨度內的行為模式進行分析,能夠捕捉到細微的變化,及時發現潛在的APT活動。【理論上偏移基線的行為監控一定能發現未知威脅包括 APT,但實際上數據量巨大,正常行為基線相對固定但是異常基線千奇百怪,分析成本巨大】
- 釣魚和社會工程攻擊:通過監測用戶點擊惡意鏈接或打開可疑附件后的后續行為(如密碼更改、異常登錄),UEBA可以幫助防范這類社會工程攻擊。
3. 合規性和審計支持
- 政策執行:UEBA有助于確保員工遵守公司的安全策略,如限制訪問特定敏感數據或在非工作時間內禁止某些操作。
- 審計跟蹤:生成詳細的用戶活動報告,便于內部審計和外部監管機構審查。
三、UEBA的技術實現
1. 大數據技術
- 海量數據處理:UEBA系統需要處理大量的日志和事件數據,因此通常依賴于大數據平臺(如Hadoop、Spark)來存儲和分析這些數據。
- 分布式計算:為了提高性能,UEBA系統往往采用分布式計算框架,能夠在短時間內完成復雜的行為分析任務。
2. 機器學習算法
- 無監督學習:用于自動建立行為基線,無需預先定義哪些行為是正常的或異常的。常見的算法包括聚類分析(Clustering)、孤立森林(Isolation Forests)等。
- 有監督學習:用于訓練模型識別已知類型的威脅,例如通過歷史數據標注出惡意行為樣本,然后使用分類算法(如隨機森林、神經網絡)進行預測。
- 補充說明:
- 無監督學習定義:機器學習算法只能從沒有標記的數據中學習模式,事先不需要人工干預。
- 監督學習定義:利用輸入對象和期望輸出值(這種輸入輸出是一種標記數據行為)訓練模型的一種學習范式,通過對培訓數據進行處理,構建一個新數據映射到期望輸出值的函數。通常需要人工干預。
- 補充說明:
3. 可視化工具
- 直觀展示:UEBA系統通常配備強大的可視化界面,幫助安全分析師快速理解復雜的行為模式和威脅情報。例如,通過圖形化展示用戶活動的時間序列圖、地理分布圖等,便于發現隱藏的趨勢和模式。
四、UEBA的優勢與挑戰
1. 優勢
- 早期預警:能夠比傳統安全工具更早地發現潛在威脅,減少損失。
- 減少誤報:通過深入分析上下文信息,降低因單一規則觸發而產生的誤報率。
- 提升響應效率:基于風險評分的優先級排序,使安全團隊能夠集中精力處理最關鍵的問題。
2. 挑戰
- 數據質量要求高:需要高質量的日志和事件數據作為輸入,否則可能導致錯誤的分析結果。
- 實施成本較高:部署和維護UEBA系統涉及較高的技術和人力資源投入。
- 隱私問題:由于UEBA涉及對個人行為的深度分析,可能會引發隱私保護方面的擔憂。
UEBA作為一種創新的安全分析方法,為企業提供了強大的工具來應對日益復雜的網絡安全威脅。然而,成功實施UEBA需要綜合考慮技術、流程和人員等多個方面的要求。
五、平臺的 UEBA 實現
1. 行為告警配置流程
實體定義 --> 實體行為規則 --> 實體行為提取 --> 行為告警規則 --> 事件
2. 詳細步驟
- 1. 定義實體(這個實體是什么樣的實體,干什么用的)
- 2. 實體規則抽取(這個實體需要滿足什么條件,或者具備的特性)【基于 topic】
- 3. 實體行為日志提取(匹配這個實體的行為,基于某一個 topic 下的日志特定字段特征等提取)
- 4. 行為告警(基于行為的異常判斷,定義什么樣的異常行為會告警生成事件。同時還想能關聯各種處置動作)
- 關聯處置動作:生成工單 | 短信通知 | 郵件通知 | 自動封禁 | POC 掃描任務 | 終端隔離 | IP 斷網 | 等
by 久違
)
、tolower()、 isspace())
