一、什么是用戶行為分析（UBA）

　　用戶行為分析（UBA）是一種用于檢測用戶行為模式異常以發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)威脅的技術(shù)。它借助數(shù)據(jù)分析和機器學(xué)習(xí)（ML）算法，為每個用戶構(gòu)建獨一無二的基線行為模型。它們可以檢測與此基線的偏差，從而有助于在早期階段檢測潛在的安全威脅。

　　二、UBA提供什么？

　　高效響應(yīng)：提高檢測速度，幫助分析安全事件的影響并快速響應(yīng)。

　　精準(zhǔn)檢測：它突破了簡單規(guī)則的限制，運用基于機器學(xué)習(xí)的先進技術(shù)，能夠在早期精準(zhǔn)識別那些緩慢進行且具有針對性的攻擊。

　　減少誤報干擾：誤報警報常常干擾違規(guī)檢測的及時性，而 UBA 針對組織中每個用戶的活動級別，計算出專屬的警報閾值，摒棄了 “一刀切” 的閾值設(shè)定方式。

　　強化威脅檢測能力：傳統(tǒng)安全方案難以對用戶行為進行有效分析，無法察覺其中的異常情況。比如，當(dāng)員工接觸敏感數(shù)據(jù)時，很難判斷其行為是否惡意。UBA 解決方案則依靠用戶的基線活動，能夠精準(zhǔn)識別出指向潛在攻擊的異常用戶行為。

　　三、用戶行為分析（UBA）在工作中的應(yīng)用

　　雖然現(xiàn)有的安全解決方案使用靜態(tài)閾值來區(qū)分正常和不正常，但 UBA 解決方案使用分析方法（數(shù)據(jù)分析和機器學(xué)習(xí)的組合）根據(jù)實際用戶行為實現(xiàn)動態(tài)閾值。

　　UBA 工作方式的各個階段：

　　1.長期收集用戶信息：全面收集用戶在較長時間跨度內(nèi)的行為數(shù)據(jù)。

　　2.構(gòu)建用戶基線模型：針對每個用戶，構(gòu)建特定的正?；顒踊€。

　　3.定義動態(tài)閾值：依據(jù)實際用戶行為，為每個用戶設(shè)定唯一的閾值。

　　4.識別行為偏差：精準(zhǔn)找出與用戶常態(tài)行為的偏差。

　　5.及時通知安保人員：一旦發(fā)現(xiàn)異常，迅速通知相關(guān)安保人員。

　　6.持續(xù)更新閾值：根據(jù)最新數(shù)據(jù)，不斷更新閾值，確保檢測的準(zhǔn)確性和時效性。

　　四、實現(xiàn) UBA 身份保護的得力工具 ——AD360

　　ManageEngine卓豪AD360是一款強大的實時 Active Directory 更改監(jiān)控軟件，它不僅僅滿足于對域控制器的審核，更整合了 UBA 技術(shù)，極大地提升了檢測內(nèi)部威脅的效能。其內(nèi)置的 UBA 引擎為管理員提供了諸多實用功能：

　　監(jiān)控可疑用戶

　　讓我們來看一個用例：假設(shè)一個心懷不滿的員工離開了組織，想要竊取關(guān)鍵的財務(wù)信息。員工復(fù)印了 200 份包含公司財務(wù)數(shù)據(jù)的文件，由于用戶通常每天訪問大約 10 個文檔，因此此行為是異常的。UBA 解決方案會識別此異常行為，并向管理員觸發(fā)告警。

　　防范被盜用的賬戶

　　若有惡意員工試圖使用同事的憑據(jù)竊取重要信息，在同事下班后，攻擊者嘗試從同事的計算機登錄。攻擊者在多次輸錯密碼后終于成功登錄。UBA 解決方案通過計算該同事過去幾個月的典型登錄時間，能夠敏銳檢測到此次異常的登錄時間，并即刻向管理員發(fā)出告警。

　　檢測成員服務(wù)器異常進程

　　當(dāng)員工在瀏覽互聯(lián)網(wǎng)時不慎安裝了惡意應(yīng)用程序，隨后在連接到具有管理員權(quán)限的服務(wù)器執(zhí)行管理任務(wù)時，UBA 解決方案能夠迅速檢測到服務(wù)器上的這一異常操作，并觸發(fā)告警，幫助管理員快速采取措施，減輕攻擊影響。

　　發(fā)現(xiàn)權(quán)限濫用

　　AD360 的 UBA 模塊能夠有效檢測特權(quán)用戶的異常行為，保護敏感數(shù)據(jù)。例如，當(dāng)特權(quán)用戶試圖訪問關(guān)鍵文件或文件夾，并執(zhí)行大量異常的文件修改操作時，AD360 會立即標(biāo)記此事件，并發(fā)送可能存在威脅的警報。

　　識別用戶錯誤引發(fā)的安全威脅

　　如果用戶因疏忽打開了安全漏洞或錯誤損壞了數(shù)據(jù)，AD360 的 UBA 引擎能夠迅速察覺這種異常情況。比如，當(dāng)某個用戶意外授予組織中所有人訪問敏感文件的權(quán)限時，UBA 會檢測到異常數(shù)量的文件活動并觸發(fā)告警，便于管理員及時發(fā)現(xiàn)并處理可能的數(shù)據(jù)泄露。

　　執(zhí)行風(fēng)險評估

　　管理員可以通過過濾連接到最多資產(chǎn)的用戶以及過度活躍的賬戶來識別網(wǎng)絡(luò)中的薄弱環(huán)節(jié)。AD360提供風(fēng)險評估報表，用于監(jiān)控這些易受攻擊的賬戶。例如，通過在風(fēng)險評估報表中運行查詢，管理員可以找出哪些賬戶的活動計數(shù)（如文件活動）最高。

　　ManageEngine卓豪AD360還是一款出色的身份和訪問管理（IAM）解決方案，可用于管理用戶身份、管控對資源的訪問、強化安全性并確保合規(guī)性。它在保證用戶能夠快速訪問所需資源的同時，建立了嚴(yán)格的訪問控制，通過集中式控制臺保障本地 Active Directory、Exchange Server 和云應(yīng)用程序的安全，有效簡化了 IT 環(huán)境中的 IAM 工作。

免責(zé)聲明：以上內(nèi)容為本網(wǎng)站轉(zhuǎn)自其它媒體，相關(guān)信息僅為傳遞更多信息之目的，不代表本網(wǎng)觀點，亦不代表本網(wǎng)站贊同其觀點或證實其內(nèi)容的真實性。如稿件版權(quán)單位或個人不想在本網(wǎng)發(fā)布，可與本網(wǎng)聯(lián)系，本網(wǎng)視情況可立即將其撤除。