UEBA(用户与实体行为分析)

Q: UEBA(用户与实体行为分析) 是什么?

一种检测技术,通过为用户和实体建立正常行为基线,利用统计或机器学习识别可能预示入侵或内部威胁的异常。 它属于网络安全的 防御与运营 分类。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

UEBA(用户与实体行为分析) 是什么?

UEBA(用户与实体行为分析)一种检测技术,通过为用户和实体建立正常行为基线,利用统计或机器学习识别可能预示入侵或内部威胁的异常。

UEBA 为每个身份(用户、服务账号、主机、物联网设备)建立动态行为基线,使用统计方法、同群体比较和机器学习对偏离行为进行风险评分。与基于特征的工具不同,UEBA 能够发现细微的滥用行为,例如异常登录时间、不可能的地理位置、异常的数据访问、横向移动或权限滥用。它通常从 SIEM、身份提供商、EDR 和云审计日志中采集数据,并输出由 SOAR 或分析师消费的风险评分告警。UEBA 是内部威胁项目和零信任执行的核心,以行为上下文补充基于规则的检测。

● 示例

01
检测到一名财务用户在凌晨 3 点从陌生国家从 SharePoint 下载 50 GB 数据。
02
标记一个长期无人值守运行的服务账号突然开始执行交互式登录。

● 常见问题

UEBA(用户与实体行为分析) 是什么?

一种检测技术,通过为用户和实体建立正常行为基线,利用统计或机器学习识别可能预示入侵或内部威胁的异常。它属于网络安全的防御与运营分类。

UEBA(用户与实体行为分析) 是什么意思?

一种检测技术,通过为用户和实体建立正常行为基线,利用统计或机器学习识别可能预示入侵或内部威胁的异常。

如何防御 UEBA(用户与实体行为分析)?

针对 UEBA(用户与实体行为分析) 的防御通常结合技术控制与运营实践,详见上方完整定义。

UEBA(用户与实体行为分析) 还有哪些其他名称?

常见的别称包括: 行为分析, 扩展用户行为分析。

UEBA(用户与实体行为分析)