UEBA 解決方案被部署到整個組織的網路。 在部署後的一段時間內,UEBA 解決方案會監視裝置並建立正常使用情況的設定檔。 這包括該裝置的各個用戶的活動。 一段時間後,UEBA 對被認為正常和異常行為有了一個很好的模型。 此時,它可以從學習模式過渡到活動模式。
在作用中模式時,UEBA 解決方案會監控各種動作,並根據其正常行為模型進行評估。 如果它觀察到異常活動,它可以提醒管理員,並可能觸發旨在阻止潛在威脅的回應。
例如,組織中的使用者通常可能會花費大部分工作天的時間來編輯文件和瀏覽網際網路。 如果他們的帳戶突然開始向其他系統發出請求並探索網絡,UEBA 解決方案可能會發出警報。 雖然這項活動變更可能是不良性的,但也可能表明使用者的認證已被攻擊者入侵。 如果這是追逐,UEBA 解決方案提供的警告會為組織提供了解決問題的機會。
如果攻擊者有權存取使用者的帳戶,他們可能不需要使用惡意軟體和類似技術來實現其目標。 這可能會對某些專為偵測此類惡意內容而設計的安全解決方案帶來挑戰。
但是,攻擊者可能會在實現目標的過程中採取偏離標準的行動。 例如,如果不存取資料就無法執行資料洩露,而勒索軟體則涉及大量文件操作。 UEBA 解決方案可以識別並報告這些異常活動,使組織能夠在沒有惡意軟體或惡意內容的情況下偵測攻擊。
UEBA 為組織的安全操作中心 (SOC) 提供了許多好處,包括以下:
UEBA 和網路流量分析(NTA) — 也稱為網路偵測和回應(NDR) — 都可以識別一些相同的威脅,而且它們都使用類似的技術,例如機器學習和資料分析。 但是,它們不是相同的解決方案。 例如,NTA 可以提供對組織網路上的事件更廣泛的可見性,而不僅僅是那些被標記為異常的事件。 另一方面,UEBA 解決方案提供對受監控裝置上的本地事件的可見性,而 NTA 只能對網路層級事件進行可見性。
UEBA 和安全資訊與事件管理(安全性資訊與事件管理)解決方案都使用機器學習和資料分析來識別威脅。 但是,它們是針對識別不同類型的威脅而設計的不同解決方案。
一般來說,安全性資訊與事件管理解決方案更能辨識較不複雜的一次性威脅,並且專注於安全管理。 但是,它們可能缺乏對更複雜和細微的攻擊活動的能力。
另一方面,UEBA 解決方案更注重建置使用者和裝置的設定檔並尋找與這些設定檔的偏差。 這使他們能夠識別更微妙的攻擊並檢測安全性資訊與事件管理可能錯過的內部威脅。
UEBA 解決方案提供寶貴的功能,可以補充組織安全堆疊中的其他解決方案。 透過偵測並報告可能與潛在攻擊有關的異常行為,UEBA 使組織的安全團隊能夠偵測其他專注於識別和封鎖惡意內容的解決方案可能會忽略的內部威脅和其他攻擊。
UEBA 功能應該成為企業整合安全平台的一部分。 Check Point Infinity XDR(擴充偵測與回應)提供 UEBA 以及一系列其他安全功能。 在此解決方案簡介中了解 Infinity XDR 的全部功能。 然後,要詳細了解Infinity XDR如何協助保護您的組織免受高級安全威脅,請立即註冊免費演示。
反映意見