為了應(yīng)對不斷創(chuàng)新的網(wǎng)絡(luò)攻擊手段、更好地保護企業(yè)的數(shù)據(jù)安全，用戶和實體行為分析（UEBA）技術(shù)應(yīng)運而生，它通過收集和分析來自各種來源的數(shù)據(jù)全面分析和檢測內(nèi)部人員的可疑行為，并提供行為基準、集成威脅情報和補救工作流程等功能。雖然UEBA這個安全類別的落地應(yīng)用形態(tài)各異，但幾項關(guān)鍵功能在整個行業(yè)具有高度的一致性，主要包括：

01監(jiān)測分析

企業(yè)必須監(jiān)測安全基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)、設(shè)備和應(yīng)用程序。UEBA工具不斷觀察IT系統(tǒng)，并在網(wǎng)絡(luò)流量和設(shè)備或應(yīng)用程序的行為與預(yù)先配置的標準不一致時通知管理員。同時，利用機器學習識別用戶行為，以確定它們是否符合典型操作的預(yù)定標準。如果UEBA工具確定用戶的異常行為很危險，它會在儀表板上高亮顯示該模式，供安全管理員查看。

02確定警報的優(yōu)先級

出現(xiàn)足夠嚴重的異常時，UEBA工具會觸發(fā)警報。由于這類工具長期研究典型的用戶和應(yīng)用程序模式，意外情況發(fā)生時它們會留意到。UEBA工具常確定警報的優(yōu)先級——對風險級別進行排序，這樣IT和安全人員可以決定優(yōu)先處理哪個風險。

03管理用戶行為

UEBA解決方案監(jiān)測用戶權(quán)限，并確定特定用戶的行為是否與分配給他們的權(quán)限相沖突。這有助于減少特權(quán)訪問濫用，還可以暴露惡意的內(nèi)部活動。UEBA解決方案還經(jīng)常監(jiān)測實體或資產(chǎn)（比如筆記本電腦或服務(wù)器），以確定它們的行為是否異常，是否需要隔離或關(guān)閉。

04高級威脅識別

當UEBA工具監(jiān)測系統(tǒng)并注意到異常時，它們通常會確定發(fā)生了什么類型的問題。這些威脅包括橫向移動和數(shù)據(jù)泄露，UEBA解決方案還可以告訴用戶威脅來自企業(yè)內(nèi)部還是外部。這些信息對于幫助應(yīng)對威脅攻擊者非常有用，特別是當他們是內(nèi)部員工時。

隨著網(wǎng)絡(luò)技術(shù)發(fā)展加快，攻擊技術(shù)和惡意內(nèi)部活動在越來越趨于隱蔽的同時，也呈現(xiàn)出多樣化態(tài)勢。因此，要真正實現(xiàn)用戶行為全過程解析并不容易，企業(yè)用戶需要進一步加強對UEBA技術(shù)的研究，并部署應(yīng)用具有較高處理效率與檢測質(zhì)量的UEBA工具。本文收集整理了7款較熱門的UEBA解決方案（詳見下表），并對其應(yīng)用特點進行了分析。

圖片

1、Rapid7 InsightIDR

Rapid7 InsightIDR是集SIEM和XDR功能于一體的威脅檢測平臺，可以持續(xù)參考正常的用戶行為基線，查找已定義的攻陷指標。它旨在檢測難以發(fā)現(xiàn)的威脅，比如冒充公司員工的攻擊者或惡意內(nèi)部人員企圖泄露數(shù)據(jù)的活動。如果企業(yè)正在尋找一款綜合的威脅防護安全解決方案，InsightIDR將是不錯的選擇，因為豐富的功能和出色的管理能力使其成為綜合表現(xiàn)完善的整體UEBA應(yīng)用方案。

主要特點

?將行為活動自動關(guān)聯(lián)：InsightIDR能夠?qū)⒖蛻艟W(wǎng)絡(luò)上的事件與這些事件背后的特定用戶和實體關(guān)聯(lián)起來。

?用戶活動基準：該解決方案適應(yīng)網(wǎng)絡(luò)上的用戶和實體，可以持續(xù)定義正常的活動行為。

?觀察列表：通過InsightIDR儀表板監(jiān)測，可以發(fā)現(xiàn)并重點關(guān)注可能構(gòu)成高風險的用戶。

?錯誤配置檢測：InsightIDR使用可視化日志搜索和預(yù)構(gòu)建合規(guī)卡來檢測異常。

傳送門：https://www.rapid7.com/products/insightidr/

2、Microsoft Sentine

Microsoft Sentinel是一款云化的SIEM解決方案，同時也提供了可靠的UEBA功能。功能特性包括事件優(yōu)先級確定、行為分類和事件時間軸管理等。除了這些功能之外，Sentinel還可以與微軟的XDR產(chǎn)品Defender整合，是Azure云客戶的理想選擇之一。

主要特點

?廣泛的數(shù)據(jù)收集能力：Sentinel可以從本地和多個云中的所有用戶、設(shè)備、應(yīng)用程序和基礎(chǔ)設(shè)施提取行為相關(guān)的信息。

?橫向移動檢測：當Sentinel標記出可疑行為后，安全團隊可以通過該方案查看到應(yīng)用程序或服務(wù)之間潛在的橫向移動情況。

?基于AI的威脅調(diào)查：相比手動搜索威脅，Sentinel具有強大的人工智能能力，可以幫助用戶更快地探索威脅和尋找奇怪的行為。

?沒有查詢限制：由于是云原生工具，Sentinel避免了一些可能阻礙本地系統(tǒng)保護企業(yè)的資源限制。

傳送門：https://azure.microsoft.com/en-us/products/microsoft-sentinel

3、FortiSIEM

FortiSIEM是由網(wǎng)絡(luò)安全廠商飛塔設(shè)計研發(fā)的綜合性SIEM產(chǎn)品，其整合的UEBA功能全面包括了內(nèi)部威脅識別、用戶行為風險評分和受攻擊賬戶檢測等能力。FortiSIEM是一款強大的網(wǎng)絡(luò)威脅防護解決方案，理論上說適用于任何企業(yè)，不過在實際應(yīng)用時，它尤其適用于已經(jīng)使用飛塔防火墻等設(shè)備的用戶，因為通過與FortiGate設(shè)備集成，可以更加方便地共享數(shù)據(jù)。

主要特點

?檢測異常端點行為：廣泛的端點數(shù)據(jù)可以反映出受攻擊的系統(tǒng)或賬戶，或者疏忽或惡意的內(nèi)部人員。

?威脅情報：FortiSIEM支持提供CSV文件或支持STIC/TAXII標準1.0、1.1和2.0的威脅源。

?實時關(guān)聯(lián)引擎：FortiSIEM可以動態(tài)運行數(shù)百條與用戶活動相關(guān)聯(lián)的監(jiān)測規(guī)則。

?基于機器學習的檢測：管理員可以通過機器學習，自動化查看異常行為和用戶，無需自己來人工編寫所有規(guī)則。

傳送門：https://www.fortinet.com/products/siem/fortisiem

4、LogRhythm SIEM

LogRhythm是一款提供了強大UEBA功能的新型SIEM平臺，主要特點就是使用機器學習技術(shù)來檢測內(nèi)部威脅、蠻力攻擊和管理濫用等異常情況。LogRhythm的文件完整性監(jiān)測功能可以快速查詢到不合規(guī)的文件訪問。如果用戶存儲大量含有敏感數(shù)據(jù)的文件，不妨考慮部署應(yīng)用LogRhythm。LogRhythm可能需要幾個月的時間來進行全面定制。但是對于具有高級SIEM需求的專業(yè)安全運營團隊來說，它是一個很好的UEBA解決方案。

主要特點：

?威脅情報集成：LogRhythm SIEM可以與目前主要的商業(yè)威脅源和開源威脅源集成。

?針對個別異常的評分機制：通過個別異常評分和匯總用戶評分，用戶可以優(yōu)先確定哪些潛在威脅需要調(diào)查和緩解。

?自動威脅響應(yīng)操作：LogRhythm可以通過自動實施威脅響應(yīng)（比如文件隔離和URL阻止）幫助減少人員工作量。

?威脅分析模型：通過該模型，平臺可以將用戶身份對照自己的基準或所有被監(jiān)測的身份進行威脅比對。

傳送門：https://logrhythm.com/products/logrhythm-siem/

5、Cynet 360 AutoXDR

Cynet 360 AutoXDR是一款應(yīng)用廣泛的威脅檢測和響應(yīng)平臺，能夠為企業(yè)提供單一的多租戶平臺化服務(wù)，將端點、用戶和網(wǎng)絡(luò)安全功能融合在一個完整的服務(wù)套件中。UEBA也屬于該平臺的網(wǎng)絡(luò)安全能力范疇，提供了廣泛的UBA特性及其他安全工具，因此它是適合大企業(yè)的不錯選擇，尤其適合希望快速增強網(wǎng)絡(luò)威脅檢測和響應(yīng)能力的安全團隊。

主要特點

?網(wǎng)絡(luò)響應(yīng)編排：劇本式的威脅處置操作可幫助團隊處理受感染的主機、惡意文件、網(wǎng)絡(luò)流量和受攻擊的用戶賬戶。

?CyOps：Cynet提供由專業(yè)SOC專家輔助的24/7 MDR服務(wù)，協(xié)助深入調(diào)查、主動威脅搜索和攻擊報告。

?用戶行為監(jiān)測：Cynet查找表明用戶賬戶受攻擊的異常行為。

?風險級別識別：平臺的UEBA功能使用全面的用戶信息來確定用戶的整體風險級別。

傳送門：https://www.cynet.com/cynet-360-for-compliance-frameworks/

6、Exabeam

Exabeam是一家安全運營服務(wù)提供商，UEBA是其主要服務(wù)功能之一，主要特點包括事件時間線管理、基于角色的訪問控制以及常規(guī)性SIEM平臺服務(wù)。Exabeam的最大特點就是可以與數(shù)百個第三方安全工具集成，并支持眾多的數(shù)據(jù)源格式，包括Salesforce應(yīng)用等非安全數(shù)據(jù)源，因此非常適合需要眾多數(shù)據(jù)源的企業(yè)使用。

主要特點

?可以與SIEM系統(tǒng)集成：Exabeam允許客戶將其UEBA解決方案與那些已經(jīng)在使用的SIEM解決方案集成。

?其他預(yù)構(gòu)建系統(tǒng)集成：除了SIEM外，Exabeam還與Microsoft 365、VMware ESXi、Salesforce和CrowdStrike等產(chǎn)品集成。

?異常行為分析能力：Exabeam結(jié)合來自多個產(chǎn)品的可疑信號以發(fā)現(xiàn)復雜的行為威脅。

?用戶群體分類：Exabeam根據(jù)關(guān)系（比如同一個業(yè)務(wù)部門的內(nèi)部用戶）對用戶和其他實體（比如設(shè)備）進行分類。

傳送門：https://www.exabeam.com/

7、Splunk UEBA

Splunk UBA是一款較為少見的獨立用戶行為分析產(chǎn)品，提供了團隊監(jiān)測、分析和檢測用戶威脅所需的各項功能。企業(yè)可以使用Splunk的威脅監(jiān)測工作流程來改善當前的安全狀況。這項技術(shù)將企業(yè)中海量的原始事件警報聚焦到幾個最有可能發(fā)生的威脅。對于想要一個專門用于用戶分析獨立解決方案的團隊，可以選擇使用Splunk UEBA。

主要特點

?事件優(yōu)先級確定：每個異常都有自己的風險評分，Splunk可以幫助團隊優(yōu)先響應(yīng)最關(guān)鍵的問題。

?多重異常和威脅模型：這些Splunk模型專注于檢測企業(yè)外部的威脅。

?高級威脅檢測：該產(chǎn)品旨在檢測賬戶接管、指揮和控制活動以及瀏覽器漏洞。

?數(shù)據(jù)泄露檢測：Splunk可以搜尋從存儲位置提取或傳輸敏感公司信息的活動。

傳送門：https://www.splunk.com/en_us/products/user-behavior-analytics.html

參考鏈接：https://www.esecurityplanet.com/products/best-user-and-entity-behavior-analytics-ueba-tools/