the-essential-guide-to-ueba信息安全资料.pdfVIP

基本指南

用户和实体

行为分析

使用机器学习检测高级威胁，生成丰富的背

景信息见解，以了解攻击并简化事件调查。

安全团队面临着前所未有的挑战—攻击生成式AI引发的逆风加剧了这些挑战。根据最近发布的而在改变这一动态方面，机器学习(ML)具有独特的优势。

面扩大，漏洞数量增加，网络攻击接二连Splunk2024年安全预测报告，攻击者将创建AI设计的机器学习不预设任何条件。它不会假设某种情况属于正常

规避恶意软件、深度造假和更真实的社会工程策略。此现象。相反，它会训练自己，学习什么是正常行为，什么是

三，所有这些都极大地增加了组织风险。

外，2024年将出现新类型的攻击，包括商业和经济虚假异常行为。没有任何固有的偏见，它从环境中学习以建立

根据Splunk2023年安全状况报告，安全信息活动，对公司品牌和声誉的攻击更有针对性。勒索软基准，任何表现异常或与基准相反的行为都被视为异常。

运营中心(SOC)已经不堪重负，23%的件创造者将越来越依赖零日威胁来渗透网络。

SOC分析师表示，他们难以应对大量的像这样复杂的网络攻击很难被发现和检测。虽然人工关

安全警报。由于需要处理太多的警报，以联规则可以检测恶意行为，但在任何给定的环境中，都

不应完全依赖它们来识别100%的威胁。想想人为驱动

至于41%的警报被忽略。这使得威胁能

的安全策略的局限性。由于攻击数量巨大，并且极其复杂，

够突破组织的防御。这会增加平均检测导致安全团队疲于应对，以至于他们已经达到（如果尚未

时间(MTTD)，并导致停留时间过长。事实超过）其有效和快速观察、定向、决策和采取行动的能

上，组织报告的平均停留时间约为2.24个力。更合理的策略是采用人机结合的方法，利用能够简化

和自动化检测、调查、响应和补救周期关键要素的技术来

月，52%的组织报告在过去两年内发生了

扩展SOC团队。

违规行为。

用户和实体行为分析|Splunk22

什么是用户和实体行为分析？

用户和实体行为分析(UEBA)会分析用户和实体的行为，•用户执行不寻常的命令或运行他们通常不运行或不符然后，使用模式检测和高级关联，随着时间的推移，将这

例如设备（路由器、服务器等）和应用程序，并使用机器合其工作角色的脚本。例如，营销部门的某人正在运行些异常拼接成有意义的序列，以揭示可以理解并立即采

学习来检测异常行为。这些系统监控现有用户账户、设备复杂的数据库查询。取行动的实际杀伤链。杀伤链是攻击的真实写照，是一系

和应用程序，分析其访问模式，并在出现异常行为迹象时•应用程序突然比平时多收到数千个请求，即使这不是用列导致违规的恶意活动。通常，在序列的每个阶段都有几

发出警报。潜在异常行为的一些示例包括：户访问该应用程序的高峰时间。这种行为表示潜在的个事件暴露了攻击者的路径和行为。与违反已知阈值对应

DDOS攻击。的警报相反，基于行为的威胁检测方法使用具有极端上下

•从异常设备、浏览器或地理位置访问的用户账户。