使用者和實體行為分析 (UEBA)

使用者和實體行為分析 (UEBA) 解決方案旨在根據異常行為識別網路安全威脅。 一旦解決方案清楚了解組織系統的正常運作方式,它就可以識別可能表明潛在威脅的偏差。 例如,從公司資料庫進行大量、異常下載資料可能表明資料外洩正在進行中。

申請示範 深入瞭解

使用者和實體行為分析 (UEBA)

使用者和實體行為分析 (UEBA) 如何運作?

UEBA 解決方案被部署到整個組織的網路。 在部署後的一段時間內,UEBA 解決方案會監視裝置並建立正常使用情況的設定檔。 這包括該裝置的各個用戶的活動。 一段時間後,UEBA 對被認為正常和異常行為有了一個很好的模型。 此時,它可以從學習模式過渡到活動模式。

在作用中模式時,UEBA 解決方案會監控各種動作,並根據其正常行為模型進行評估。 如果它觀察到異常活動,它可以提醒管理員,並可能觸發旨在阻止潛在威脅的回應。

例如,組織中的使用者通常可能會花費大部分工作天的時間來編輯文件和瀏覽網際網路。 如果他們的帳戶突然開始向其他系統發出請求並探索網絡,UEBA 解決方案可能會發出警報。 雖然這項活動變更可能是不良性的,但也可能表明使用者的認證已被攻擊者入侵。 如果這是追逐,UEBA 解決方案提供的警告會為組織提供了解決問題的機會。

使用者和實體行為分析的需求 (UEBA)

如果攻擊者有權存取使用者的帳戶,他們可能不需要使用惡意軟體和類似技術來實現其目標。 這可能會對某些專為偵測此類惡意內容而設計的安全解決方案帶來挑戰。

但是,攻擊者可能會在實現目標的過程中採取偏離標準的行動。 例如,如果不存取資料就無法執行資料洩露,而勒索軟體則涉及大量文件操作。 UEBA 解決方案可以識別並報告這些異常活動,使組織能夠在沒有惡意軟體或惡意內容的情況下偵測攻擊。

UEBA 優惠

UEBA 為組織的安全操作中心 (SOC) 提供了許多好處,包括以下:

  • 廣泛的威脅偵測:UEBA 通過尋找與正常行為的偏差來識別威脅。 這使其能夠識別各種威脅,包括不使用惡意軟體或惡意內容的威脅。
  • 自動分析:UEBA 會自動收集和分析大量數據,以構建其模型並檢測異常事件。 這可提供有價值的前後關聯,而無需安全分析師執行此分析。
  • 改進安全性:UEBA 能夠識別使用其他安全解決方案更難偵測的內部威脅和其他風險。 因此,它可以降低組織網絡攻擊的風險。

澳大利亞大學與國家聯盟

UEBA 和網路流量分析(NTA) — 也稱為網路偵測和回應(NDR) — 都可以識別一些相同的威脅,而且它們都使用類似的技術,例如機器學習和資料分析。 但是,它們不是相同的解決方案。 例如,NTA 可以提供對組織網路上的事件更廣泛的可見性,而不僅僅是那些被標記為異常的事件。 另一方面,UEBA 解決方案提供對受監控裝置上的本地事件的可見性,而 NTA 只能對網路層級事件進行可見性。

UEBA 與安全性資訊與事件管理

UEBA 和安全資訊與事件管理(安全性資訊與事件管理)解決方案都使用機器學習和資料分析來識別威脅。 但是,它們是針對識別不同類型的威脅而設計的不同解決方案。

一般來說,安全性資訊與事件管理解決方案更能辨識較不複雜的一次性威脅,並且專注於安全管理。 但是,它們可能缺乏對更複雜和細微的攻擊活動的能力。

另一方面,UEBA 解決方案更注重建置使用者和裝置的設定檔並尋找與這些設定檔的偏差。 這使他們能夠識別更微妙的攻擊並檢測安全性資訊與事件管理可能錯過的內部威脅。

UEBA 與 Infinity XDR

UEBA 解決方案提供寶貴的功能,可以補充組織安全堆疊中的其他解決方案。 透過偵測並報告可能與潛在攻擊有關的異常行為,UEBA 使組織的安全團隊能夠偵測其他專注於識別和封鎖惡意內容的解決方案可能會忽略的內部威脅和其他攻擊。

UEBA 功能應該成為企業整合安全平台的一部分。 Check Point Infinity XDR(擴充偵測與回應)提供 UEBA 以及一系列其他安全功能。 在此解決方案簡介中了解 Infinity XDR 的全部功能。 然後,要詳細了解Infinity XDR如何協助保護您的組織免受高級安全威脅,請立即註冊免費演示

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明