防御与运营
UBA(用户行为分析)
定义
通过建立用户正常活动基线、识别异常行为来发现账号滥用、内部威胁和被盗凭据的分析技术。
用户行为分析(UBA)对认证、应用与访问日志进行处理,为每个用户建立常态模型——典型登录时间、地点、应用、文件访问量——并使用统计和机器学习方法对偏离行为进行风险打分。UBA 对绕过签名防御的攻击尤为有效,包括凭据盗窃、内部数据外泄、账号接管和缓慢的横向移动。UBA 通常作为 SIEM 或身份平台的模块交付,向 SOC 输出具有优先级的告警;在现代部署中通常会扩展到非人类账号和设备,即 UEBA。
示例
- UBA 模块标记一名财务用户:凌晨 2 点从境外 IP 下载了 50 GB SharePoint 数据。
- 基于风险的认证在用户行为偏离基线时强制升级多因素认证。
相关术语
UEBA(用户与实体行为分析)
一种安全分析方法,先对用户与实体的正常行为建立基线,再标记出可能预示账号失陷或内部滥用的统计性偏差。
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
行为生物特征
通过分析击键节奏、鼠标轨迹、步态或触屏手势等独特用户行为,持续验证身份并发现冒用的技术。
Indicator of Attack (IoA)
Indicator of Attack (IoA) — definition coming soon.
Threat Hunting
Threat Hunting — definition coming soon.
安全运营中心(SOC)
集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。