用戶和實體行為分析（UEBA）可揭示企業面臨的隱藏風險。UEBA使用先進的數據分析技術篩選來自多個來源的數據流，以尋找攻擊、偵察和數據泄露的證據。在這種情況下，行為分析意味著人和系統或實體的行為。這里的示例包括，如果用戶突然下載大量數據，系統突然嘗試連接到通常不與之通信的另一個系統，或者發生任何其他異常情況。

UEBA在以下主要領域有多個用例：

• 網絡安全
• 網絡和數據中心運營
• 管理
• 業務運營

網絡安全UEBA用例

1. 檢測橫向攻擊

網絡日志可以顯示系統試圖聯系通常不與之通信的其他系統的證據，這可能表明它已被入侵并被用作對其他系統進行橫向攻擊的發射臺。

2. 識別被盜賬戶

系統和網絡日志可以顯示人們或帳戶正在嘗試做他們通常不做和不應該做的事情。這可能表明該帳戶的憑據已被泄露，并且第三方正在使用該帳戶來規劃功能和漏洞或泄露敏感數據。

3. 發現內部威脅

行為分析可以發現一個帳戶使用了比平常更高級別的權限或試圖訪問它通常不與之交互的系統。這些是內部人員濫用其帳戶功能的潛在證據。

4. 檢測木馬賬戶創建

分析可以發現帳戶創建、刪除或修改活動的異常爆發，例如創建大量系統管理員帳戶或現有帳戶失去某些特定訪問權限。這種行為可能表明不良行為者正在設置本地帳戶以執行進一步的操作。

5. 監控賬戶共享政策違規行為

UEBA systems can spot evidence that users have shared credentials instead of operating only within their own accounts, making compromise by bad actors more likely. UEBA系統可以發現用戶共享憑據的證據，而不是僅在自己的帳戶中操作，從而更有可能被不良行為者破壞。

6. 預測即將發生的硬件和軟件故障

異常行為可以指示硬件中當前或即將發生的故障；操作系統；中間件，例如數據庫管理系統；應用服務器；和應用程序。例如，給定網絡交換機端口上越來越多的數據傳輸錯誤可能表明硬件出現故障或該端口的電纜存在問題。

7. 執行根本原因分析

單個問題有時會產生跨多個系統和功能層的影響。這里需要威脅分析來發現連接。例如，多個面向員工和客戶的應用程序中分散的事務失敗，以及在特定Kubernetes集群中運行的數據庫服務器和應用程序容器的間歇性問題，可能源于它們背后的存儲網絡的問題。

UEBA可以滿足企業和云服務提供商的運營需求，可以前瞻性或回顧性地使用它們。他們可以使用UEBA工具來幫助確定在發生時沒有明顯聯系的分散問題的根本原因，或者在失敗后使用它們來查看是否可以更快發現有問題的跡象，并且可能會再次發生。

8. 了解生產力

行為可以為個人和團隊的生產力提供線索，表明是什么讓某些人或團隊在特定環境中比其他人更有效率。 9. 了解實際的團隊結構 行為分析還可以揭示員工之間的溝通模式，這可以產生有用的洞察力，了解哪些員工被其他員工視為領導者、幫助者或導師。

10. 檢測欺詐交易

銀行和其他金融服務機構以及電話公司等服務提供商長期以來一直在使用此類技術進行欺詐檢測。這些系統是UEBA工具使用的分析技術的一些最早應用。在這些情況下，工具專注于異常行為，例如：

• ATM卡或網上銀行的異常使用；
• 意外的信用卡收費模式；
• 保險理賠的異常模式；
• 長途電話收費欺詐；
• 以及 機器人呼叫。

通過關注人員和系統所做的事情，UEBA工具在越來越多的用例中發現了有用的信息。人工智能和機器學習的快速發展只會擴大和深化可用工具的集合，以及它們從分散在時間、地理和系統中的數據中梳理意義的能力。