【安全运营】用户与实体行为分析(UEBA)浅析
目录
- 用户与实体行为分析(UEBA)简介
- 一、UEBA的核心概念
- 1. 行为基线建立
- 2. 异常检测
- 3. 风险评分
- 4. 上下文关联
- 二、UEBA的应用场景
- 1. 内部威胁检测
- 2. 外部威胁应对
- 3. 合规性和审计支持
- 三、UEBA的技术实现
- 1. 大数据技术
- 2. 机器学习算法
- 3. 可视化工具
- 四、UEBA的优势与挑战
- 1. 优势
- 2. 挑战
- 五、平台的 UEBA 实现
- 1. 行为告警配置流程
- 2. 详细步骤
用户与实体行为分析(UEBA)简介
用户与实体行为分析(User and Entity Behavior Analytics,简称 UEBA)是一种先进的安全分析方法,用于识别和响应潜在的安全威胁。它通过分析用户和系统的行为模式来检测异常活动,尤其是那些可能表明存在内部威胁或高级持续性威胁(APT)的情况。
一、UEBA的核心概念
1. 行为基线建立
- 定义正常行为:UEBA首先需要为每个用户、设备或其他实体建立一个“正常”的行为模式或基准线。这包括记录用户的日常活动,如登录时间、访问的资源类型、使用的应用程序等。
- 动态调整:这些基准线不是静态的,而是根据实际数据进行动态更新,以适应正常的业务变化。例如,员工的工作职责改变后,其行为模式也会随之变化。
2. 异常检测
- 偏差识别:一旦建立了行为基线,UEBA系统会实时监控并比较当前行为与基准线之间的差异。任何显著偏离正常模式的行为都会被标记为可疑。
- 多维度分析:UEBA不仅关注单个指标的变化,还会结合多个维度的数据进行综合评估,如地理位置、设备类型、时间段等。例如,如果某个账户突然从不常用的IP地址登录,并且访问了敏感数据,那么这种行为就会触发告警。
3. 风险评分
- 量化威胁程度:对于每一个检测到的异常行为,UEBA系统会计算出一个风险评分,表示该行为对组织构成的潜在威胁程度。高风险评分意味着需要立即采取行动。
- 优先级排序:基于风险评分,安全团队可以优先处理最严重的威胁,确保有限的资源得到高效利用。
4. 上下文关联
- 情境感知:UEBA不仅仅依赖于单一的数据源,而是整合了来自不同系统的日志和事件数据,提供更全面的情境信息。例如,结合身份管理系统(IAM)、网络流量分析(NTA)和终端检测与响应(EDR)的数据,可以更好地理解某个异常行为的背景。
- 攻击链分析:通过关联多个相关事件,UEBA可以帮助识别完整的攻击链条,揭示复杂的攻击路径,如横向移动或数据渗漏。
二、UEBA的应用场景
1. 内部威胁检测
- 恶意内部人员:UEBA能够发现员工或承包商的异常行为,如未经授权的数据访问、大量文件下载或频繁尝试登录失败等,这些都可能是内部人员企图窃取公司机密的迹象。
- 账户盗用:当合法用户的凭据被盗用时,UEBA可以通过对比当前行为与该用户的典型行为模式,快速识别出异常情况。
2. 外部威胁应对
- 高级持续性威胁(APT):APT通常采用长期潜伏和低频次攻击的方式,传统的安全工具难以察觉。UEBA通过对长时间跨度内的行为模式进行分析,能够捕捉到细微的变化,及时发现潜在的APT活动。【理论上偏移基线的行为监控一定能发现未知威胁包括 APT,但实际上数据量巨大,正常行为基线相对固定但是异常基线千奇百怪,分析成本巨大】
- 钓鱼和社会工程攻击:通过监测用户点击恶意链接或打开可疑附件后的后续行为(如密码更改、异常登录),UEBA可以帮助防范这类社会工程攻击。
3. 合规性和审计支持
- 政策执行:UEBA有助于确保员工遵守公司的安全策略,如限制访问特定敏感数据或在非工作时间内禁止某些操作。
- 审计跟踪:生成详细的用户活动报告,便于内部审计和外部监管机构审查。
三、UEBA的技术实现
1. 大数据技术
- 海量数据处理:UEBA系统需要处理大量的日志和事件数据,因此通常依赖于大数据平台(如Hadoop、Spark)来存储和分析这些数据。
- 分布式计算:为了提高性能,UEBA系统往往采用分布式计算框架,能够在短时间内完成复杂的行为分析任务。
2. 机器学习算法
- 无监督学习:用于自动建立行为基线,无需预先定义哪些行为是正常的或异常的。常见的算法包括聚类分析(Clustering)、孤立森林(Isolation Forests)等。
- 有监督学习:用于训练模型识别已知类型的威胁,例如通过历史数据标注出恶意行为样本,然后使用分类算法(如随机森林、神经网络)进行预测。
- 补充说明:
- 无监督学习定义:机器学习算法只能从没有标记的数据中学习模式,事先不需要人工干预。
- 监督学习定义:利用输入对象和期望输出值(这种输入输出是一种标记数据行为)训练模型的一种学习范式,通过对培训数据进行处理,构建一个新数据映射到期望输出值的函数。通常需要人工干预。
- 补充说明:
3. 可视化工具
- 直观展示:UEBA系统通常配备强大的可视化界面,帮助安全分析师快速理解复杂的行为模式和威胁情报。例如,通过图形化展示用户活动的时间序列图、地理分布图等,便于发现隐藏的趋势和模式。
四、UEBA的优势与挑战
1. 优势
- 早期预警:能够比传统安全工具更早地发现潜在威胁,减少损失。
- 减少误报:通过深入分析上下文信息,降低因单一规则触发而产生的误报率。
- 提升响应效率:基于风险评分的优先级排序,使安全团队能够集中精力处理最关键的问题。
2. 挑战
- 数据质量要求高:需要高质量的日志和事件数据作为输入,否则可能导致错误的分析结果。
- 实施成本较高:部署和维护UEBA系统涉及较高的技术和人力资源投入。
- 隐私问题:由于UEBA涉及对个人行为的深度分析,可能会引发隐私保护方面的担忧。
UEBA作为一种创新的安全分析方法,为企业提供了强大的工具来应对日益复杂的网络安全威胁。然而,成功实施UEBA需要综合考虑技术、流程和人员等多个方面的要求。
五、平台的 UEBA 实现
1. 行为告警配置流程
实体定义 --> 实体行为规则 --> 实体行为提取 --> 行为告警规则 --> 事件
2. 详细步骤
- 1. 定义实体(这个实体是什么样的实体,干什么用的)
- 2. 实体规则抽取(这个实体需要满足什么条件,或者具备的特性)【基于 topic】
- 3. 实体行为日志提取(匹配这个实体的行为,基于某一个 topic 下的日志特定字段特征等提取)
- 4. 行为告警(基于行为的异常判断,定义什么样的异常行为会告警生成事件。同时还想能关联各种处置动作)
- 关联处置动作:生成工单 | 短信通知 | 邮件通知 | 自动封禁 | POC 扫描任务 | 终端隔离 | IP 断网 | 等
by 久违