根据Gartner的定义，用户和实体行为分析(User and Entity Behavior Analytics /UEBA)，通常跨越一定时间和范围， 以构建用户和实体(主机、应用程序、网络流量和数据存储)的标准配置文件和行为。与这些标准基准线异常的活动表示为可疑，并且对这些异常进行综合分析可以帮助发现威胁和潜在事件。

UEBA通过机器学习、算法和统计分析来了解：当当前行为与既定模式存在偏差时，哪些异常可能导致潜在的、真正的威胁。UEBA还可以汇总日志和报告中的数据，分析文件、数据流和数据包中的信息。在UEBA中，一般不会跟踪安全事件或监视设备，相反，它可以跟踪系统中所有的用户和实体。因此，UEBA更专注于内部威胁：例如向黑客妥协的员工；或者已经受到威胁的员工；以及已经可以访问系统、服务器、应用程序甚至系统中运行的设备，然后进行针对性攻击和欺诈尝试的人员。

UEBA核心元素：用例、分析和数据

UEBA的原理其实非常简单，因为获取一个员工的用户名和密码可能很容易，但是进入网络后要模仿员工的正常行为其实还挺困难的。做个假设，你已经窃取了员工X的密码和用户名，除非你进行了充足的研究和准备，不然是不可能和X系统中一样精确地执行操作的。结果就是，X的用户名被登录到系统时，一旦出现非典型性行为，则UEBA警报将立即响起。

再比如小偷偷走你的钱包，然后去店里消费，信用卡显示消费数万元。如果你平日在这张卡上的消费方式与小偷的盗刷方式不同，那么这个公司的安全部门就能马上识别到异常消费、及时阻止可疑消费，并向你发出警报或要求你验证交易的真实性。

• 检测内部威胁。员工滥用权限盗取或泄露数据的例子数不胜数，UEBA能做到检测内部员工数据泄露、破坏、滥用特权或违反政策的行为。

• 检测遭到入侵的帐户。可能是用户不小心在电脑上安装了恶意软件，也可能是合法帐户遭到欺诈，UEBA可以及时止损，在后果更严重之前除去遭到攻击的用户。

• 检测暴力攻击。有时黑客会尝试对云端的实体和第三方身份验证系统进行访问攻击。UEBA可以检测到暴力访问尝试，然后阻止对实体的访问。

• 检测权限更改和超级用户创建。有些攻击涉及使用超级用户，UEBA能检测到超级用户何时被创建，以及那些被授予不必要权限的帐户。

• 检测违反受数据保护的行为。如果你有受保护的数据，UEBA可以检测到用户在没有任何正当商业理由访问数据的情况下，何时访问了该数据。

• ……

与UEBA的工作方式相同，SIEM（安全信息和事件管理）利用数据和事件信息，查看正常的模式和趋势，并在出现异常趋势和事件时发出告警。但是SIEM是基于规则的，高级黑客可以轻松解决或规避这些规则。此外，SIEM规则旨在立即检测实时发生的威胁，而高级攻击通常在数月或数年的时间内进行。而UEBA不只依赖规则，更使用风险评分技术和高级算法，从而可以长时间检测异常情况。若将SIEM中融入UEBA， 则可更加凸显SIEM的关键功能。IT安全性的最佳实践之一是同时使用SIEM和UEBA，这样具有更好的安全性和检测功能。

**参考资料：What is User and Entity Behavior Analytics? A Definition of UEBA, Benefits, How It Works, and More，DIGITAL GUARDIAN，更多信息可点击“阅读原文”，欢迎转载，转载请注明出处，非常感谢~~