為了應(yīng)對不斷創(chuàng)新的網(wǎng)絡(luò)攻擊手段、更好地保護(hù)企業(yè)的數(shù)據(jù)安全，用戶和實(shí)體行為分析（UEBA）技術(shù)應(yīng)運(yùn)而生，它通過收集和分析來自各種來源的數(shù)據(jù)全面分析和檢測內(nèi)部人員的可疑行為，并提供行為基準(zhǔn)、集成威脅情報(bào)和補(bǔ)救工作流程等功能。雖然UEBA這個(gè)安全類別的落地應(yīng)用形態(tài)各異，但幾項(xiàng)關(guān)鍵功能在整個(gè)行業(yè)具有高度的一致性，主要包括：

01監(jiān)測分析

企業(yè)必須監(jiān)測安全基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)、設(shè)備和應(yīng)用程序。UEBA工具不斷觀察IT系統(tǒng)，并在網(wǎng)絡(luò)流量和設(shè)備或應(yīng)用程序的行為與預(yù)先配置的標(biāo)準(zhǔn)不一致時(shí)通知管理員。同時(shí)，利用機(jī)器學(xué)習(xí)識別用戶行為，以確定它們是否符合典型操作的預(yù)定標(biāo)準(zhǔn)。如果UEBA工具確定用戶的異常行為很危險(xiǎn)，它會在儀表板上高亮顯示該模式，供安全管理員查看。

02確定警報(bào)的優(yōu)先級

出現(xiàn)足夠嚴(yán)重的異常時(shí)，UEBA工具會觸發(fā)警報(bào)。由于這類工具長期研究典型的用戶和應(yīng)用程序模式，意外情況發(fā)生時(shí)它們會留意到。UEBA工具常確定警報(bào)的優(yōu)先級——對風(fēng)險(xiǎn)級別進(jìn)行排序，這樣IT和安全人員可以決定優(yōu)先處理哪個(gè)風(fēng)險(xiǎn)。

03管理用戶行為

UEBA解決方案監(jiān)測用戶權(quán)限，并確定特定用戶的行為是否與分配給他們的權(quán)限相沖突。這有助于減少特權(quán)訪問濫用，還可以暴露惡意的內(nèi)部活動。UEBA解決方案還經(jīng)常監(jiān)測實(shí)體或資產(chǎn)（比如筆記本電腦或服務(wù)器），以確定它們的行為是否異常，是否需要隔離或關(guān)閉。

04高級威脅識別

當(dāng)UEBA工具監(jiān)測系統(tǒng)并注意到異常時(shí)，它們通常會確定發(fā)生了什么類型的問題。這些威脅包括橫向移動和數(shù)據(jù)泄露，UEBA解決方案還可以告訴用戶威脅來自企業(yè)內(nèi)部還是外部。這些信息對于幫助應(yīng)對威脅攻擊者非常有用，特別是當(dāng)他們是內(nèi)部員工時(shí)。

隨著網(wǎng)絡(luò)技術(shù)發(fā)展加快，攻擊技術(shù)和惡意內(nèi)部活動在越來越趨于隱蔽的同時(shí)，也呈現(xiàn)出多樣化態(tài)勢。因此，要真正實(shí)現(xiàn)用戶行為全過程解析并不容易，企業(yè)用戶需要進(jìn)一步加強(qiáng)對UEBA技術(shù)的研究，并部署應(yīng)用具有較高處理效率與檢測質(zhì)量的UEBA工具。本文收集整理了7款較熱門的UEBA解決方案（詳見下表），并對其應(yīng)用特點(diǎn)進(jìn)行了分析。

圖片

1、Rapid7 InsightIDR

Rapid7 InsightIDR是集SIEM和XDR功能于一體的威脅檢測平臺，可以持續(xù)參考正常的用戶行為基線，查找已定義的攻陷指標(biāo)。它旨在檢測難以發(fā)現(xiàn)的威脅，比如冒充公司員工的攻擊者或惡意內(nèi)部人員企圖泄露數(shù)據(jù)的活動。如果企業(yè)正在尋找一款綜合的威脅防護(hù)安全解決方案，InsightIDR將是不錯(cuò)的選擇，因?yàn)樨S富的功能和出色的管理能力使其成為綜合表現(xiàn)完善的整體UEBA應(yīng)用方案。

主要特點(diǎn)

?將行為活動自動關(guān)聯(lián)：InsightIDR能夠?qū)⒖蛻艟W(wǎng)絡(luò)上的事件與這些事件背后的特定用戶和實(shí)體關(guān)聯(lián)起來。

?用戶活動基準(zhǔn)：該解決方案適應(yīng)網(wǎng)絡(luò)上的用戶和實(shí)體，可以持續(xù)定義正常的活動行為。

?觀察列表：通過InsightIDR儀表板監(jiān)測，可以發(fā)現(xiàn)并重點(diǎn)關(guān)注可能構(gòu)成高風(fēng)險(xiǎn)的用戶。

?錯(cuò)誤配置檢測：InsightIDR使用可視化日志搜索和預(yù)構(gòu)建合規(guī)卡來檢測異常。

傳送門：https://www.rapid7.com/products/insightidr/

2、Microsoft Sentine

Microsoft Sentinel是一款云化的SIEM解決方案，同時(shí)也提供了可靠的UEBA功能。功能特性包括事件優(yōu)先級確定、行為分類和事件時(shí)間軸管理等。除了這些功能之外，Sentinel還可以與微軟的XDR產(chǎn)品Defender整合，是Azure云客戶的理想選擇之一。

主要特點(diǎn)

?廣泛的數(shù)據(jù)收集能力：Sentinel可以從本地和多個(gè)云中的所有用戶、設(shè)備、應(yīng)用程序和基礎(chǔ)設(shè)施提取行為相關(guān)的信息。

?橫向移動檢測：當(dāng)Sentinel標(biāo)記出可疑行為后，安全團(tuán)隊(duì)可以通過該方案查看到應(yīng)用程序或服務(wù)之間潛在的橫向移動情況。

?基于AI的威脅調(diào)查：相比手動搜索威脅，Sentinel具有強(qiáng)大的人工智能能力，可以幫助用戶更快地探索威脅和尋找奇怪的行為。

?沒有查詢限制：由于是云原生工具，Sentinel避免了一些可能阻礙本地系統(tǒng)保護(hù)企業(yè)的資源限制。

傳送門：https://azure.microsoft.com/en-us/products/microsoft-sentinel

3、FortiSIEM

FortiSIEM是由網(wǎng)絡(luò)安全廠商飛塔設(shè)計(jì)研發(fā)的綜合性SIEM產(chǎn)品，其整合的UEBA功能全面包括了內(nèi)部威脅識別、用戶行為風(fēng)險(xiǎn)評分和受攻擊賬戶檢測等能力。FortiSIEM是一款強(qiáng)大的網(wǎng)絡(luò)威脅防護(hù)解決方案，理論上說適用于任何企業(yè)，不過在實(shí)際應(yīng)用時(shí)，它尤其適用于已經(jīng)使用飛塔防火墻等設(shè)備的用戶，因?yàn)橥ㄟ^與FortiGate設(shè)備集成，可以更加方便地共享數(shù)據(jù)。

主要特點(diǎn)

?檢測異常端點(diǎn)行為：廣泛的端點(diǎn)數(shù)據(jù)可以反映出受攻擊的系統(tǒng)或賬戶，或者疏忽或惡意的內(nèi)部人員。

?威脅情報(bào)：FortiSIEM支持提供CSV文件或支持STIC/TAXII標(biāo)準(zhǔn)1.0、1.1和2.0的威脅源。

?實(shí)時(shí)關(guān)聯(lián)引擎：FortiSIEM可以動態(tài)運(yùn)行數(shù)百條與用戶活動相關(guān)聯(lián)的監(jiān)測規(guī)則。

?基于機(jī)器學(xué)習(xí)的檢測：管理員可以通過機(jī)器學(xué)習(xí)，自動化查看異常行為和用戶，無需自己來人工編寫所有規(guī)則。

傳送門：https://www.fortinet.com/products/siem/fortisiem

4、LogRhythm SIEM

LogRhythm是一款提供了強(qiáng)大UEBA功能的新型SIEM平臺，主要特點(diǎn)就是使用機(jī)器學(xué)習(xí)技術(shù)來檢測內(nèi)部威脅、蠻力攻擊和管理濫用等異常情況。LogRhythm的文件完整性監(jiān)測功能可以快速查詢到不合規(guī)的文件訪問。如果用戶存儲大量含有敏感數(shù)據(jù)的文件，不妨考慮部署應(yīng)用LogRhythm。LogRhythm可能需要幾個(gè)月的時(shí)間來進(jìn)行全面定制。但是對于具有高級SIEM需求的專業(yè)安全運(yùn)營團(tuán)隊(duì)來說，它是一個(gè)很好的UEBA解決方案。

主要特點(diǎn)：

?威脅情報(bào)集成：LogRhythm SIEM可以與目前主要的商業(yè)威脅源和開源威脅源集成。

?針對個(gè)別異常的評分機(jī)制：通過個(gè)別異常評分和匯總用戶評分，用戶可以優(yōu)先確定哪些潛在威脅需要調(diào)查和緩解。

?自動威脅響應(yīng)操作：LogRhythm可以通過自動實(shí)施威脅響應(yīng)（比如文件隔離和URL阻止）幫助減少人員工作量。

?威脅分析模型：通過該模型，平臺可以將用戶身份對照自己的基準(zhǔn)或所有被監(jiān)測的身份進(jìn)行威脅比對。

傳送門：https://logrhythm.com/products/logrhythm-siem/

5、Cynet 360 AutoXDR

Cynet 360 AutoXDR是一款應(yīng)用廣泛的威脅檢測和響應(yīng)平臺，能夠?yàn)槠髽I(yè)提供單一的多租戶平臺化服務(wù)，將端點(diǎn)、用戶和網(wǎng)絡(luò)安全功能融合在一個(gè)完整的服務(wù)套件中。UEBA也屬于該平臺的網(wǎng)絡(luò)安全能力范疇，提供了廣泛的UBA特性及其他安全工具，因此它是適合大企業(yè)的不錯(cuò)選擇，尤其適合希望快速增強(qiáng)網(wǎng)絡(luò)威脅檢測和響應(yīng)能力的安全團(tuán)隊(duì)。

主要特點(diǎn)

?網(wǎng)絡(luò)響應(yīng)編排：劇本式的威脅處置操作可幫助團(tuán)隊(duì)處理受感染的主機(jī)、惡意文件、網(wǎng)絡(luò)流量和受攻擊的用戶賬戶。

?CyOps：Cynet提供由專業(yè)SOC專家輔助的24/7 MDR服務(wù)，協(xié)助深入調(diào)查、主動威脅搜索和攻擊報(bào)告。

?用戶行為監(jiān)測：Cynet查找表明用戶賬戶受攻擊的異常行為。

?風(fēng)險(xiǎn)級別識別：平臺的UEBA功能使用全面的用戶信息來確定用戶的整體風(fēng)險(xiǎn)級別。

傳送門：https://www.cynet.com/cynet-360-for-compliance-frameworks/

6、Exabeam

Exabeam是一家安全運(yùn)營服務(wù)提供商，UEBA是其主要服務(wù)功能之一，主要特點(diǎn)包括事件時(shí)間線管理、基于角色的訪問控制以及常規(guī)性SIEM平臺服務(wù)。Exabeam的最大特點(diǎn)就是可以與數(shù)百個(gè)第三方安全工具集成，并支持眾多的數(shù)據(jù)源格式，包括Salesforce應(yīng)用等非安全數(shù)據(jù)源，因此非常適合需要眾多數(shù)據(jù)源的企業(yè)使用。

主要特點(diǎn)

?可以與SIEM系統(tǒng)集成：Exabeam允許客戶將其UEBA解決方案與那些已經(jīng)在使用的SIEM解決方案集成。

?其他預(yù)構(gòu)建系統(tǒng)集成：除了SIEM外，Exabeam還與Microsoft 365、VMware ESXi、Salesforce和CrowdStrike等產(chǎn)品集成。

?異常行為分析能力：Exabeam結(jié)合來自多個(gè)產(chǎn)品的可疑信號以發(fā)現(xiàn)復(fù)雜的行為威脅。

?用戶群體分類：Exabeam根據(jù)關(guān)系（比如同一個(gè)業(yè)務(wù)部門的內(nèi)部用戶）對用戶和其他實(shí)體（比如設(shè)備）進(jìn)行分類。

傳送門：https://www.exabeam.com/

7、Splunk UEBA

Splunk UBA是一款較為少見的獨(dú)立用戶行為分析產(chǎn)品，提供了團(tuán)隊(duì)監(jiān)測、分析和檢測用戶威脅所需的各項(xiàng)功能。企業(yè)可以使用Splunk的威脅監(jiān)測工作流程來改善當(dāng)前的安全狀況。這項(xiàng)技術(shù)將企業(yè)中海量的原始事件警報(bào)聚焦到幾個(gè)最有可能發(fā)生的威脅。對于想要一個(gè)專門用于用戶分析獨(dú)立解決方案的團(tuán)隊(duì)，可以選擇使用Splunk UEBA。

主要特點(diǎn)

?事件優(yōu)先級確定：每個(gè)異常都有自己的風(fēng)險(xiǎn)評分，Splunk可以幫助團(tuán)隊(duì)優(yōu)先響應(yīng)最關(guān)鍵的問題。

?多重異常和威脅模型：這些Splunk模型專注于檢測企業(yè)外部的威脅。

?高級威脅檢測：該產(chǎn)品旨在檢測賬戶接管、指揮和控制活動以及瀏覽器漏洞。

?數(shù)據(jù)泄露檢測：Splunk可以搜尋從存儲位置提取或傳輸敏感公司信息的活動。

傳送門：https://www.splunk.com/en_us/products/user-behavior-analytics.html

參考鏈接：https://www.esecurityplanet.com/products/best-user-and-entity-behavior-analytics-ueba-tools/