作为一种高级网络威胁检测手段，用户与实体行为分析(UEBA)最近风头正劲。UEBA解决方案利用机器学习来使威胁浮出水面，很多案例中远快于传统的安全信息和事件管理(SIEM)系统或其他解决方案。它们以极高的准确率命中异常事件。

如果以上描述让你联想起别的分析工具，那不是巧合。用户行为分析作为一种安全特定的应用，与所有智能业务分析采用的基本原则是一致的。

UEBA的工作原理是？功效是？

首先，UEBA解决方案收集网络多个节点产生的信息。最好的解决方案会从网络设备、系统、应用、数据库和用户处收集数据。利用这些数据，UEBA可以创建一条基线以确定各种不同情况下的正常状态是什么。

一旦基准线建立，UEBA解决方案会跟进聚合数据，寻找被认为是非正常的模式。这一确定过程仅评估新事件在上下文环境中是否不正常，以及不正常的程度有多深，并排序事件的重要性及可能的业务影响。用户行为分析管理员也可以创建自定义规则来定制解决方案，以便更贴合公司及其特定服务、数据和过程的需求。

需要理解的一个重要原则是，UEBA解决的，更多的是异常行为而非一般的基础设施事件。这种专门的方法，帮助解决公司企业如今面对的一些最为棘手的问题：

• 确定有效特权账户是否被盗用
• 使内部威胁浮出水面
• 确定系统或应用是否被攻破

UEBA主要功能：厂商解决方案中需要注意的地方

很多厂商已经开始宣称自己的产品中加入了UEBA功能，这里面自然有那么一小部分是可以称之为真正的UEBA提供商的。这些真正的UEBA提供商的产品，全都以一种相似的方式运行。基本上，它们全都建立在某个平台之上，有核心引擎运行合适的分析算法，从已有源处纳入数据反馈并进行分析，然后在用户面板上输出分析结果。这些产品的目标，是为信息安全和IT从业人员提供可操作的信息以解决威胁。

目前，大多数此类工具并不直接响应威胁本身，而是为安全操作员提供确定是否采取行动的判断依据，以及安排响应行为的能力。如今可用的平台，很有可能在明年内继续走在集成防火墙、终端和其他网络节点以实现自动化响应的路上。

安全分析算法是控制这些平台的“秘密武器”。在评估UEBA平台的时候，安全从业人士应该询问清楚这些算法运行的具体细节。很多厂商都会声明这是他们的知识产权。不过，如果厂商有内部威胁模型，不妨问一下该模型是否基于特定事件或流信息，比如登录信息和以设定阈值从设备、应用和主机发起的数据访问。如果是，那么这很有可能不是机器学习，而是预先配置的关联规则。可以采用这种简单的方法来判定厂商仅仅是在营销机器学习概念，还是真的在解决方案中引入了机器学习。其他可以区分UEBA产品的重要差异包括：

• 支持数据源：这是工具集成的数据类型，包括支持的格式(逗号分隔值(CSV)、电子表格、数据库等等)，以及日志文件类型(源自主机、应用、路由器、防火墙、VPN、文件系统，甚或Hadoop之类的大数据解决方案)。问清楚这些是内置的已有集成，还是需要专业服务来构建。了解UEBA解决方案是只收集基本事件和流数据，还是能捕捉更多的细节。如果是前者，那可能会有关键用户、系统和应用数据被遗漏，因为，很不幸地，日志和流并不总是包含所有活动。最后，考虑是否能从平台的用户界面直接配置这些数据源。

• 合作伙伴关系：合作伙伴关系广泛的厂商，往往会提供工具可靠性和集成度的评估。

• 建立基准线的耗时：这与工具建立基准线是以完全自动化的动态方式，还是需要人工干预有关。一些平台仅靠几天的历史记录就做出决策；其他则可能需要几周甚至一个月。经验告诉我们，记录时间跨度越长越有可能提供更准确的基线——因为可以将季节性变动纳入考虑范围。不过，有些平台计算能力更强，可以运行多个高级算法，在动态学习上表现更好，而且可以改善准确浮出威胁的能力。

• 结果输出时间(TTR)：也就是首次整合后，解决方案开始产出可行性威胁结果的耗时。 在这方面上并没有明显的指标：结果的清晰定义，是遵循初始配置和基线，输出关于异常行为的先前未知的情报。此外，有些解决方案宣称能做到实时输出结果——此时一定要让厂商给出所谓‘实时’的明确定义，问他们是否能提供相应的检测方法。

• 面板灵活性：了解UEBA平台的设计假定，弄清楚面板操作员能否支持安全分析师、经理或其他不那么高端的用户。很多UEBA工具可被定制为提供详细的或高管级的报告。

• 平台交付：了解平台交付方式。大多数厂商通常会提供产品的本地部署版本(仅软件或设备)。很多厂商还提供云版本。云产品的一个主要挑战是，UEBA平台需要与很多数据源紧密集成，而这些数据源通常被公司企业认为是自营的或敏感的(例如：财务数据反馈、人力资源系统、医疗记录等等)，并不愿意将这些数据暴露在云端。唯一的例外是，如果UEBA平台厂商能以加密信道确保企业和云端的通信安全，那就没问题。未来几年，敏感数据将会逐渐迁移到云端，因此，UEBA的云交付或许会是更受欢迎的选择。

UEBA最佳实践：怎样获取最优化结果

从UEBA工具获取最优化结果的基本最佳实践包括：

• 在选择UEBA解决方案时，将外部和内部威胁都考虑在内。

• 寻找主打公司重要领域分析能力的解决方案，比如内部威胁和失窃凭证。选择能完全浮出威胁的解决方案，比如盗取知识产权并用电子邮件发送出去的内部人士。很多UEBA平台都缺乏这种疾病功能。

• 慎重考虑哪些团队成员可以访问平台，哪些人员可以看到警报。

• 别以为标准账户无害。很多攻击都会创建瀑布效果，通过逐步攻击资产最终获得特权账户的控制权，或者从无特权账户升级。

UEBA平台非常有前景。在不远的将来，可以预期用户行为分析平台会更直接地集成到基础设施中，并进行自动化响应。我们已经在见证防火墙和其他网络设备被配置为纳入用户行为分析驱动的情报并立即创建新的流量规则，在安全人才注意到之前就将入侵威胁挡在门外。