一、什么是用户行为分析（UBA）

用户行为分析（UBA）是一种用于检测用户行为模式异常以发现网络内威胁的技术。UBA 解决方案使用数据分析和机器学习（ML）算法来创建特定于每个用户的基线行为，它们可以检测与此基线的偏差，从而有助于在早期阶段检测潜在的安全威胁。

但是，UBA 与传统的安全解决方案到底有何不同？

二、传统安全解决方案的局限性

误报掩盖了真正的威胁：传统的安全工具会用大量错误标记的安全警报轰炸管理员，因为它们采用基于规则的威胁检测技术，而 UBA 解决方案采用基于 ML 的技术来有效和准确地检测异常。这使得使用传统安全解决方案很难发现真正表明可能遭受真正攻击的信息，尽管组织保持其边界安全并仔细审查内部人员和外部人员的一举一动，但大多数管理员在大量误报中错过了妥协的迹象。

无法检测异常：传统安全解决方案使用的审核技术无法准确检测异常用户行为。警报阈值是主观的，并且每个网络都是独一无二的，而且它们会随时间而变化，因此不能依赖警报来发现威胁，尤其是缓慢的攻击。您可以使用机器学习来检测偏差，而无需设置任何阈值，机器学习会分析一段时间内的用户行为，并发现任何轻微的用户异常。

三、UBA 提供什么

效率：提高检测速度，帮助分析安全事件的影响并快速响应。

精确性：超越简单的规则，利用基于机器学习的技术，在早期阶段准确检测缓慢和有针对性的攻击。

减少误报：由于误报警报是延迟违规检测的干扰源，因此特定于组织中每个用户的唯一警报阈值变得非常重要，UBA 根据每个用户的活动级别计算其阈值，而不是对所有用户使用一揽子阈值。

更好的威胁检测：传统的安全解决方案无法分析用户行为，也无法检测此行为中的异常情况。因此，当员工处理敏感数据时，很难知道他们只是在做自己的工作还是恶意的，UBA 解决方案依靠用户的基线活动来识别指向潜在攻击的异常用户行为。

四、用户行为分析（UBA）在工作中的应用

虽然现有的安全解决方案使用静态阈值来区分正常和不正常，但 UBA 解决方案使用分析方法（数据分析和机器学习的组合）根据实际用户行为实现动态阈值。

UBA 收集有关整个组织中的用户在较长时间内所做的事情的信息，然后创建特定于每个用户的“正常”活动的基线。每当偏离既定基线时，UBA 解决方案都会认为此异常并提醒管理员。

UBA 解决方案的基石是行为难以模仿的前提，因此，当外部实体试图闯入网络时，很容易被发现。

UBA 工作方式的各个阶段：

在较长的时间内收集有关用户的信息。对特定于每个用户的正常活动的基线进行建模。根据实际用户行为定义唯一阈值。找出与常态的偏差。通知有关安保人员。根据最新数据不断更新阈值。

实现 UBA 的身份保护的工具 AD360 实时 Active Directory 更改监控软件，它并不止于审核域控制器，它更进一步，整合了 UBA 以更有效地检测内部威胁。其内置的 UBA 引擎可帮助管理员：监控流氓用户让我们来看一个用例：假设一个心怀不满的员工离开了组织，想要窃取关键的财务信息。员工复印了 200 份包含公司财务数据的文件，由于用户通常每天访问大约 10 个文档，因此此行为是异常的。UBA 解决方案会识别此异常行为，并向管理员触发警报。

没有 UBA 功能的传统安全无法建立正常用户活动的基线来发现异常，并且不会将这种级别的文件访问视为奇怪。但是，这是一个明显的情况，即用户的活动异常，需要管理员注意。

检查被盗用的帐户心怀不满的员工想使用同事的凭据窃取重要信息，在同事回家一天后，攻击者尝试从同事的计算机登录，以避免标记来自错误计算机的登录事件。在多次错误地猜测同事的密码后，攻击者成功输入了正确的密码并登录。

在计算了同事过去几个月的典型登录时间后，UBA 解决方案检测到异常登录时间。使用 UBA，不仅可以检测到异常登录时间，还会发出警报并立即发送给管理员。

检测成员服务器上的异常进程员工在浏览互联网时安装了恶意应用程序，然后，他们连接到具有管理员权限的服务器以执行管理任务，UBA 解决方案在服务器上检测到此新操作并触发警报，更快地检测攻击使管理员能够减轻其影响。

检测权限滥用 AD360 的 UBA 模块可检测特权用户的异常用户行为，以保护敏感数据。例如，如果特权用户尝试访问关键文件或文件夹并执行异常大量的文件修改，AD360 将标记此事件并发送有关可能威胁的警报。

发现用户错误造成的安全威胁如果用户不小心打开了漏洞门或错误地损坏了数据，AD360 的 UBA 引擎可以立即发现这种异常情况。假设某个用户意外授予了组织中每个人访问敏感文件的权限，将检测异常数量的文件活动并触发警报。然后，管理员可以查看为什么此文件突然被访问了这么多次，并检测数据泄露。

执行风险评估管理员可以通过过滤连接到最多资产的用户以及过度活跃的帐户来识别网络中的薄弱环节。AD360 提供风险评估报告，用于监控这些易受攻击的帐户。例如，您可以通过在风险评估报告中运行查询来找出哪些帐户的活动计数最高（例如，文件活动高）。

AD360 身份和访问管理（IAM）解决方案https://www.manageengine.cn/active-directory-360，用于管理用户身份、管理对资源的访问、实施安全性和确保合规性。允许用户快速访问所需资源，同时建立严格的访问控制，从集中式控制台确保本地 Active Directory、Exchange Server 和云应用程序的安全性，从而帮助您简化 IT 环境中的 IAM。