Verteidigung und Betrieb
UEBA (User and Entity Behavior Analytics)
Definition
Analytischer Sicherheitsansatz, der das normale Verhalten von Nutzern und Entitäten profiliert und statistische Abweichungen meldet, die auf Kompromittierung oder Insidermissbrauch hindeuten.
Beispiele
- Ein Finanz-Nutzer lädt nachts aus einem neuen Land tausende Datensätze herunter und löst einen hohen Risikoscore aus.
- Ein Dienstkonto, das normalerweise nur in eine Datenbank schreibt, beginnt das Active Directory aufzulisten und wird automatisch deaktiviert.
Verwandte Begriffe
UBA (User Behavior Analytics)
Analyse-Technologie, die Baselines normaler Nutzeraktivität bildet und Abweichungen kennzeichnet, um Kontomissbrauch, Insider-Bedrohungen und kompromittierte Zugangsdaten zu erkennen.
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
SOAR
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
Verhaltensbiometrie
Verfahren zur kontinuierlichen Authentifizierung, das einzigartige Verhaltensmuster wie Tipprhythmus, Mausbewegungen, Gangbild oder Touch-Gesten zur Erkennung von Imitatoren auswertet.
Anomaliebasierte Erkennung
Ein Erkennungsansatz, der eine Baseline normalen Verhaltens aufbaut und Abweichungen davon als potenziell bösartig kennzeichnet.