防御与运营
UEBA(用户与实体行为分析)
定义
一种安全分析方法,先对用户与实体的正常行为建立基线,再标记出可能预示账号失陷或内部滥用的统计性偏差。
用户与实体行为分析(UEBA)在传统 UBA 的基础上,进一步为服务器、服务账号、物联网设备和应用等非人类实体建立行为基线。平台采集身份认证日志、EDR 遥测、网络流量及 SaaS 事件,通过统计学和机器学习刻画每个身份的正常模式。当出现不可能的异地登录、突发的特权使用或异常的数据外传时,系统会生成风险评分并送入 SIEM 或 SOAR。UEBA 对发现被盗凭据、内部威胁以及绕过特征检测的慢速攻击尤其有效。
示例
- 财务用户深夜从新国家批量下载数千条记录,触发高风险评分。
- 原本只写入单个数据库的服务账号开始枚举 Active Directory,被自动禁用。