什麼是使用者與實體行為分析 (UEBA)？

UEBA 的核心由兩個關鍵元件組成：使用者行為分析 (UBA) 與實體行為分析 (EBA)。

UBA 可協助組織理解使用者行為，查看並阻止潛在的安全性風險。其實現的方式是透過監視和分析使用者活動的模式來形成典型行為的基準模型。該模型根據這種行為學習模式判斷特定使用者執行特定活動的可能性。

EBA 與 UBA一樣，也可以協助組織識別網路端的潛在網路威脅。EBA 會監視和分析非人類實體 (例如伺服器、應用程式、資料庫和物聯網 (IoT)) 之間的活動。這有助於識別可能表示安全性缺口的可疑行為，例如未經授權的資料存取或異常資料傳輸模式。

UBA 和 EBA 共同構成了一個可比較各種不同成品的解決方案，比較包括地理位置、裝置、環境、時間、頻率，以及對等或全組織的行為。

UEBA 會收集來自跨組織網路之所有已連線資料來源的使用者和實體資料。使用者資料可能包括登入活動、位置和資料存取模式，而實體資料則可能包括來自網路裝置、伺服器、端點、應用程式和其他額外服務的記錄。

UEBA 會分析收集的資料，並使用它來定義每位使用者和實體的基準或一般行為設定檔。系統接著會使用基準來建立動態行為模型，根據輸入資料持續學習並隨著時間進行調整。

UEBA 使用基準做為一般行為的指南，會繼續即時監視使用者和實體活動以協助組織判斷資產是否遭入侵。系統偵測到偏離一般基準行為的異常活動 (例如啟動異常大量的數據傳輸)，隨即觸發警示。雖然異常本身不一定表示惡意或甚至是可疑的行為，但仍可用來改善偵測、調查，以及威脅搜捕。

具有深入了解使用者行為、異常類型和潛在風險層級的警示會傳送至安全性作業中心 (SOC) 團隊。SOC 團隊接收資訊，並根據行為、內容及風險優先順序決定是否應進一步調查。

透過將 UEBA 與更廣泛組合的網路威脅解決方案結合使用，組織可形成統一的安全平台並享有更強大的整體安全性態勢。UEBA 也可與下列項目搭配使用：用於監視的受控偵測及回應 (MDR) 工具和 Privileged Access Management (PAM) 解決方案; 安全性資訊與事件管理 (SIEM); 以及用於行動及回應的事件回應工具。

威脅搜捕者使用威脅情報來幫助判斷他們的查詢是否發掘了可疑行為。當行為可疑時，異常會指向要進一步調查的潛在路徑。UEBA 透過分析使用者 和實體之間的模式，可以及早偵測到更廣泛的的網路攻擊 (包括早期網路威脅、內部網路威脅、DDoS 攻擊和蠻力攻擊)，在網路攻擊升級為潛在事件或安全性缺口之前即可加以發現。

UEBA 模型是由機器學習演算法驅動，這些演算法會持續使用資料分析，學習不斷演進的使用者和實體行為模式。安全性解決方案可以即時適應安全性需求，在面對不斷變化之複雜網路威脅的安全性環境中保持有效。

安全性分析師會使用異常來協助確認安全性缺口、評定其影響，並針對潛在的安全性事件提供及時且可採取動作的深入解析，而 SOC 小組可以使用這些深入解析進一步調查案例。這反過來會產生更快、更有效率的事件解決方式，將網路威脅對整個組織的整體影響降至最低。

現今的組織在混合或遠端工作時代中面臨不斷演進的網路威脅，這也是其防禦方法也必須進步的原因。為了更有效地偵測新的和現有的網路威脅，安全性分析師會尋找異常。雖然單一異常並不一定表示惡意行為，但跨攻擊鏈存在多個異常則可能表示更大風險。安全性分析師可以新增已識別非尋常行為的警示，進一步增強偵測。組織透過採用 UEBA 並將其安全性範圍擴展為包含傳統辦公室環境以外的裝置，可以主動提高登入安全性、減輕網路威脅，並確保整體環境更具復原性及安全。

在財經服務和醫療保健等受監管產業中，資料保護和隱私權法規都具備每家公司必須遵守的標準。UEBA 的持續監視和報告功能可協助組織追蹤這些法規的合規性要求。

雖然 UEBA 為組織提供了非常寶貴的深入解析，但它本身也隨附了一系列需要考量的獨特挑戰。以下是一些在實作 UEBA 時要因應的常見問題：

• 誤判為真和和誤判為否
  有時 UEBA 系統可能會錯誤地將正常行為分類為可疑行為，並產生誤判為真。UEBA 可能也會錯過實際的安全性威脅，產生了誤判為否。若要更精確地偵測網路威脅，組織必須謹慎調查警示。
  
  
• 實體間命名的不一致
  資源提供者可能會建立不足以識別實體的警示，例如沒有網域名稱內容的使用者名稱。發生此情況時，使用者實體無法與相同帳戶的其他執行個體合併，因此被識別為個別實體。若要將這種風險降到最低，使用標準化形式識別實體，並將實體與其身分提供者同步以建立單一目錄是至關重要。
  
  
• 隱私權考量
  增強安全性作業不應以犧牲個人隱私權限為代價。對使用者和實體行為的持續監視會引發與道德和隱私權相關的問題，這也是為什麼必須負責任地使用安全工具，尤其是 AI 增強的安全性工具。
  
  
• 快速演進的網路威脅 
  雖然 UEBA 系統的設計目的是要適應不斷變化的網路威脅環境，但在試圖趕上快速演進之網路威脅的同時，它們仍可能面臨挑戰。隨著網路攻擊技術和模式的變更，繼續調整 UEBA 技術以因應組織需求至關重要。

UEBA 隨著機器學習、AI 整合與資料分析之進展所增強的功能，其未來看起來一片光明。以下是一些可能塑造 UEBA 演進之最引人注目的趨勢和發展：

• 適用於網路安全性的 AI 的進展
  隨著 AI 和機器學習不斷變得更加強大和複雜，UEBA 的預測能力預計會更進一步發展。持續根據傳入資料學習的機器學習演算法，預期可以更完善地識別複雜模式和異常、改進網路威脅偵測的正確性，並減少誤判。
  
  
• 與延伸偵測及回應 (XDR) 以及端點偵測及回應 (EDR) 整合 
  UEBA 預期會與 EDR 和 XDR 解決方案更為整合。EDR 解決方案擴展了安全性範圍，以提供所有端點的跨平台的可見度。XDR 解決方案透過為更廣泛的產品 (包括網路、伺服器、雲端式應用程式以及端點) 提供安全性，更進一步擴大了此一範圍。將 UEBA 整合至 XDR 和 EDR 可增強這些解決方案所提供的威脅情報，讓組織可以更有效地偵測及回應跨多雲端、多平台環境的網路威脅。
  
  
• 事件回應自動化 
  自動化事件回應當與 UEBA 深入見解合併時，會變得更快速、更複雜且更有效率，進而降低整體安全性事件的衝擊。
  
  
• 更主動的安全性功能 
  UEBA 將進一步內嵌在身分識別與端點偵測，以及保護解決方案中。UEBA 在面對日益複雜的網路攻擊時，會與互補的安全性解決方案一起演變，以提供更進階的威脅偵測以及快速事件回應。例如受控延伸偵測及回應 (MXDR) 會將受控偵測及回應 (MDR) 的受控監視、搜捕和補救服務，以及 XDR 的延伸安全性保護相結合，以提供超出端點之外的快速、有效且主動式網路威脅涵蓋範圍。這些新 UEBA 功能提供 SOC 團隊可跨各種 IT 環境主動搜尋網路威脅的能力，讓組織能夠領先於新興的網路威脅。

流量分析 (NTA) 是網路安全性方法，實際上與 UEBA 有許多相似性，但在焦點、應用程式和規模上有所不同。在形成全面性的網路安全性解決方案時，這兩種方法可良好搭配運作：

• 著重於透過機器學習和 AI 來理解與監視網路內使用者和實體的行為。
• 從使用者和實體來源收集資料，其中可能包括登入活動、存取記錄與事件資料，以及實體之間的互動。
• 使用模型或基準來識別內部威脅、遭入侵帳戶，以及可能導致潛在事件的非尋常行為。

• 著重在檢查資料封包並識別可能表示潛在威脅的模式，來理解和監視網路內的資料流程。
• 從流量收集資料，其中可能包括網路記錄、通訊協定、IP 位址和流量模式。
• 使用流量模式來識別網路型威脅，例如 DDoS 攻擊、惡意程式碼，以及資料竊取與外洩。
• 與其他網路安全性工具和技術以及 UEBA 搭配運作良好。

隨著網路安全性威脅持續快速演進，UEBA 解決方案對組織的防禦策略變得比以往更加重要。更良善保護您的企業免受未來網路威脅的關鍵是保持受教、主動和知曉。

如果您有興趣使用新一代 UEBA 功能來強化貴組織的網路安全立場，可以探索最新的選項。整合安全性作業解決方案將 SIEM 和 UEBA 的功能統合在一起，可協助貴組織僅透過一個平台即時查看和阻止複雜的網路威脅。透過跨雲端、平台和端點服務的整合安全性和可見度，加快行動腳步。透過彙總整個技術堆疊的安全性資料取得安全性態勢的完整概觀，並使用 AI 發掘潛在的網路威脅。