CyberGlossary

Защита и операции

UBA (аналитика поведения пользователей)

Определение

Аналитическая технология, которая выстраивает базовые линии нормальной активности пользователей и помечает отклонения, чтобы выявлять злоупотребления учётными записями, внутренних злоумышленников и скомпрометированные учётные данные.

User Behavior Analytics (UBA) обрабатывает журналы аутентификации, приложений и доступа, чтобы смоделировать обычное поведение каждого пользователя — типичное время и место входов, используемые приложения, объёмы доступа к файлам — и применяет статистические методы и ML для оценки отклонений как риска. UBA особенно эффективна против угроз, обходящих сигнатурные средства защиты: кражи учётных данных, внутренних утечек, захвата учётных записей и медленного латерального перемещения. Обычно UBA поставляется как модуль SIEM или платформы управления идентификацией и передаёт приоритезированные оповещения в SOC; в современных внедрениях она расширяется до UEBA, охватывая нечеловеческие учётные записи и устройства.

Примеры

  • Модуль UBA помечает сотрудника финансов, который в 02:00 скачивает 50 ГБ из SharePoint с зарубежного IP.
  • Риск-ориентированная аутентификация требует усиленной MFA, если поведение входа отклоняется от базовой линии пользователя.

Связанные термины