the-essential-guide-to-ueba信息安全资料 .docxVIP

基本指南

用户和实体行为分析

使用机器学习检测高级威胁，生成丰富的背景信息见解，以了解攻击并简化事件调查。

安全团队面临着前所未有的挑战—攻击面扩大，漏洞数量增加，网络攻击接二连

三，所有这些都极大地增加了组织风险。根据Splunk2023年安全状况报告，安全运营中心(SOC)已经不堪重负，23%的SOC分析师表示，他们难以应对大量的安全警报。由于需要处理太多的警报，以至于41%的警报被忽略。这使得威胁能够突破组织的防御。这会增加平均检测时间(MTTD)，并导致停留时间过长。事实

上，组织报告的平均停留时间约为2.24个月，52%的组织报告在过去两年内发生了

违规行为。

生成式AI引发的逆风加剧了这些挑战。根据最近发布的Splunk2024年安全预测报告，攻击者将创建AI设计的规避恶意软件、深度造假和更真实的社会工程策略。此外，2024年将出现新类型的攻击，包括商业和经济虚假信息活动，对公司品牌和声誉的攻击更有针对性。勒索软件创造者将越来越依赖零日威胁来渗透网络。

像这样复杂的网络攻击很难被发现和检测。虽然人工关联规则可以检测恶意行为，但在任何给定的环境中，都不应完全依赖它们来识别100%的威胁。想想人为驱动的安全策略的局限性。由于攻击数量巨大，并且极其复杂，导致安全团队疲于应对，以至于他们已经达到（如果尚未超过）其有效和快速观察、定向、决策和采取行动的能力。更合理的策略是采用人机结合的方法，利用能够简化和自动化检测、调查、响应和补救周期关键要素的技术来

扩展SOC团队。

而在改变这一动态方面，机器学习(ML)具有独特的优势。机器学习不预设任何条件。它不会假设某种情况属于正常现象。相反，它会训练自己，学习什么是正常行为，什么是异常行为。没有任何固有的偏见，它从环境中学习以建立

基准，任何表现异常或与基准相反的行为都被视为异常。

用户和实体行为分析|Splunk 2

什么是用户和实体行为分析？

用户和实体行为分析(UEBA)会分析用户和实体的行为，例如设备（路由器、服务器等）和应用程序，并使用机器学习来检测异常行为。这些系统监控现有用户账户、设备和应用程序，分析其访问模式，并在出现异常行为迹象时发出警报。潜在异常行为的一些示例包括：

?从异常设备、浏览器或地理位置访问的用户账户。或者，多次尝试登录某个账户，以及以前没有任何失败尝试记录的用户在尝试登录时失败。

?无权从特权账户访问文件、目录或其他资源的用户试图访问它们，这表明特权账户被滥用。

?通常不下载大文件，但被观察到正在下载大文件的用户。

?用户突然开始传输大量数据，这可能表明他正在从

系统中泄露敏感信息。

?用户执行不寻常的命令或运行他们通常不运行或不符合其工作角色的脚本。例如，营销部门的某人正在运行复杂的数据库查询。

?应用程序突然比平时多收到数千个请求，即使这不是用户访问该应用程序的高峰时间。这种行为表示潜在的DDOS攻击。

UEBA系统如何识别这些异常类型？各种形式的网络攻击的共同点是，受害用户或资产的行为偏离了其过去或其对等组。这种行为变化提供了危害指标(IoC)，这些指标可以交织在一起以区分威胁。

可以挖掘实体（尤其是用户、设备、系统帐户和特权账户）的行为来揭示异常情况，即使这些行为很少发生并且持续很长时间。UEBA解决方案可以捕获这些威胁行为者在企业、云和移动环境中的足迹，然后通过其先进的机器学

习算法运行它们，以确定基准、检测偏差并持续发现异常。

然后，使用模式检测和高级关联，随着时间的推移，将这些异常拼接成有意义的序列，以揭示可以理解并立即采取行动的实际杀伤链。杀伤链是攻击的真实写照，是一系列导致违规的恶意活动。通常，在序列的每个阶段都有几

个事件暴露了攻击者的路径和行为。与违反已知阈值对应的警报相反，基于行为的威胁检测方法使用具有极端上下

文意识的机器学习，最大限度地提高发现真实、隐藏威胁

的可能性，同时最大限度地降低误报率。

用户和实体行为分析|Splunk 3

用户和实体行为分析的五项基本功能

以下是任何一流的用户和实体行为分析解决方案都应具备的五项功能：

1.涵盖用户、实体、设备和应用程序

行为分析产品的早期版本只是简单地观察用户行为。评估UEBA解决方案时，确保该技术能够分析和监控用户和实体。这包括最终用户行为、端点设备、服务器、路由

器、应用程序等。对于您正在考虑的任何UEBA解决方案，您需要审查它的所有覆盖范围，以确保对组织的各个方面进行全面监控。

此外，一流的UEBA解决方案应该分析来自多个来源的数据，包括：

?