程序员 - UEBA - 用户实体行为分析 - 个人文章

User and Entity Behavior Analytics，即为用户实体行为分析，此前，也称其为用户行为分析（UBA）

实际上，UEBA 就是使用大型数据集对网络中人类和机器的典型和非典型行为进行建模。并通过定义此类基线，可以识别传统防病毒软件可能无法检测到的可疑行为、潜在威胁和攻击
这也意味着 UEBA 可以分析用户各种行为模式
UEBA 使用这些模型来评估威胁级别，创建有助于指导适当响应的风险评分
UEBA 越来越多地使用机器学习来识别正常行为，并对暗示内部威胁、横向移动、受损帐户和攻击的风险偏差发出警报

UEBA 系统接入数据防泄露系统、门禁、上网行为、邮件、堡垒机、终端管理、工单等系统日志，通过关联和对比等分析方式，对数据泄露、账号失陷、离职倾向、违规操作、登录凭证滥用等场景进行检测分析并实现多维度智能可视化

据统计，每400封邮件中就有1封包含敏感信息，每50份通过网络传输的文件中就有1份包含敏感数据，每2个U盘中就有1个包含敏感信息

内部员工恶意攻击窃取敏感数据是典型的数据泄露场景，由于内部员工具备企业数据资产合法的访问权限，且通常了解企业敏感数据的存放位置，因此通过传统的安全审计手段无法有效检测该类行为。

很多员工在即将离职时会访问招聘网站寻求机会，在本地制作或保存简历文件并上传或外发给招聘人员时，也会将公司的一些资料或者自己的工作成果下载保存到私人U盘或网盘等

离职倾向主要通过终端管理、上网行为等日志，分析出员工是否存在大量的访问招聘网站、外发简历、U盘拷贝、打印、网盘或邮件外传文档等可疑行为。企业还可以进一步关注具有离职倾向的员工，是否有蚂蚁搬家式窃取数据或恶意删除数据等行为

在企业日常运营过程中，高权账户滥用、本地保存密码文件、门禁卡共用、未使用规定机器执行操作等未按照企业规定进行的操作行为非常普遍，但基本无从发现。于是，内部员工往往抱有侥幸心理，在日常工作中依旧执行违规的高风险操作，而这些高风险操作随时都可能影响到业务的正常运行

UEBA 系统发现异常的分析方式主要有高频分析、罕见行为分析、个群行为分析和自动化行为分析等

高频分析主要是通过行为基线分析，将用户某类行为或多类行为与其历史过往基线进行对比，发现偏离程度较大的行为

正常用户办公过程中，往往会出现一定的重复行为，当一些少见的行为被系统发现，则可能存在异常

同部门的员工往往行为较为一致，通过将个人行为与群体行为进行对比，能够从中发现个人的异常行为，对比指标可考虑部门的文档拷贝基线、接入外设频率等

UEBA - 用户实体行为分析