简简单单 Online zuozuo ：本心、输入输出、结果

为什么你的UEBA不起作用（以及如何修复）

---

编辑 | 简简单单 Online zuozuo
地址 | https://blog.csdn.net/qq_15071263

---

如果觉得本文对你有帮助，欢迎点赞、收藏、评论，谢谢

前言

用户实体行为分析（UEBA）是一个安全层，它使用机器学习和分析技术，通过分析用户和实体行为模式来检测威胁。

这里有一个过度简化的UEBA示例：假设你住在芝加哥。你在那里住了好几年，很少旅行。但突然你的信用卡在意大利的一家餐厅有一笔消费。这看起来很不正常，因为你的行为模式表明你通常不会在意大利消费。这就是UEBA检测异常行为的方式。

但大多数威胁并不这么容易检测。攻击者正在不断变得更加复杂，并学会绕过已建立的规则。因此，主要依赖静态、僵化规则的传统UEBA已不足以保护你的系统。

#UEBA #用户行为分析 #网络安全 #威胁检测 #AI安全 #安全运营 #行为基线 #安全分析

1、传统UEBA的终结——为什么你的UEBA不再有效

许多UEBA工具都是围绕静态规则和预定义的行为阈值构建的。这些方法对于捕获可预测的、易于理解的行为模式很有用，但在现代威胁环境中并不理想，特别是面对AI代理和复杂的攻击链时。

以下是传统的、静态规则驱动的UEBA的主要局限性：

静态行为阈值无法适应真实用户行为的变化。它们依赖于固定的假设（例如，“如果X发生超过Y次就报警”），随着用户行为模式的发展，这些假设很快就会过时。

规则需要持续的手动调整。安全团队花费时间追逐误报或随着用户行为的变化重写规则，这会减慢响应速度并增加运营开销。

孤立的检测逻辑缺乏上下文。传统的UEBA通常在孤岛中分析事件，而不是关联跨身份、端点、网络和应用层的活动。这限制了检测复杂、多阶段攻击的能力。

因此，某些类型的威胁虽然与正常活动混合在一起，但尽管存在规则，仍可能被忽视。

那么，如果传统UEBA无效……解决方案是什么？

2、现代企业实际需要从UEBA中获得什么

现代企业需要能够做到三件事的UEBA系统：

立即检测攻击。当攻击者可以在瞬间变形时，你需要一个同样快速移动的安全层。

识别高度复杂和复杂的攻击。攻击不再简单到可以被一套规则捕获——即使是那些由行为分析支持的先进规则。

与现有安全运营无缝集成。UEBA在自然融入现有安全工作流程时才能提供有意义的价值。

让我们更详细地看看每一项以及如何实现它们。

3、立即检测攻击（无需长期训练期）

传统的UEBA训练期使组织在数月内处于脆弱状态，并在检测最新威胁方面长期落后。典型的三到六个月的学习期在安全方面造成了巨大的差距。

行为威胁和受损账户的第一天检测能力需要首次出现和异常值规则，这些规则可以在不等待机器学习模型训练的情况下立即发现异常行为。

你需要近乎即时的行为基线。怎么做？

幸运的是，大多数组织已经拥有他们需要的数据：多年的历史日志信息存储在他们的安全信息和事件管理（SIEM）系统中。现代UEBA系统使用这些历史数据来快速建立基线，而不是等待数月的观察期。

例如，倡导"记录一切"方法的公司拥有工具，可以使用你已经拥有的数据在几分钟内创建强大的基线。

4、检测高度复杂的攻击

今天的攻击与正常的业务运营混合在一起。关联规则会错过只显示细微异常的行为威胁；它们无法识别行为看起来正常但实际上是恶意活动的受损账户或内部威胁。

现代UEBA解决方案必须能够检测首次出现的活动，例如通过OneDrive进行异常文件共享。它们需要访问新的代理类别和可疑的云服务使用，这些使用偏离了正常模式。

这归结为使用正确的工具。例如，Microsoft Sentinel可以识别异常的Azure身份行为，例如可能表明账户受损的异常云服务访问模式。首次出现和异常值检测规则可以帮助识别这些复杂的攻击。

5、与现有安全运营集成

UEBA在自然融入现有安全工作流程时才能提供有意义的价值。安全团队依赖SIEM、SOAR、身份系统和端点工具来构建活动的完整图景。

因此，有效的UEBA解决方案直接与更广泛的安全平台集成，允许将行为异常与日志、身份事件和威胁情报关联起来。这种统一的方法提供了更丰富的上下文，使安全分析师能够更快、更准确地响应威胁。

灵活性也很重要。组织必须能够调整检测逻辑和行为阈值，以匹配他们的环境、风险承受能力和运营需求。当UEBA紧密集成到现有平台中时，这种定制变得更加容易。

6、UEBA作为AI安全代理的基础

UEBA并没有被AI取代。相反，UEBA已经成为训练AI的方式。AI驱动的检测和响应解决方案在摄取干净、全面的行为基线时表现最佳，这些基线来自结构化的UEBA规则和异常值检测。

AI代理需要高质量的行为基线

AI安全代理不是魔法。它们遵循GIGO（垃圾进，垃圾出）原则，就像任何其他数据密集型系统一样。为AI代理提供高质量的行为数据，它将蓬勃发展。这解释了为什么95%的AI试点项目未能提供真正的业务价值——它们缺乏高质量的训练数据。

结构化的UEBA规则还为代理提供专业知识，例如谁应该在哪里登录、服务账户连接到S3的频率，以及典型的夜间文件量。AI代理可以学习（并且学习得更快）当它们有结构化的、上下文丰富的数据可以工作时。

7、AI检测，然后AI响应

安全团队经常被警报淹没。团队无法跟上。但当UEBA为AI提供数据时：

首次出现规则成为自动触发器。不是等待分析师，代理可以在几秒钟内开始收集数据和上下文。

AI可以对威胁进行排名，帮助确保人类注意力被给予具有最大偏差或最高爆炸半径的事件。

从UEBA派生的实体关系图帮助代理建模横向移动风险并选择遏制策略（例如：隔离主机、撤销凭据等）。

一旦系统能够可靠地检测威胁，你可以将其提升到下一个级别，并允许你的AI代理也采取行动。

8、从UEBA规则到自主安全运营

手动安全运营存在扩展问题。它们无法跟上现代威胁的数量和复杂性。因此，组织会错过威胁，或者用压倒性的警报量让安全分析师精疲力竭。

但有了UEBA首次出现规则，AI代理可以在检测到异常行为时立即开始收集证据并关联事件。异常值检测可以为AI驱动的风险评分和优先级提供数据。

你仍然可以让人类参与循环，授权AI系统推荐的每个操作。最终，你也可以将操作委托给AI系统，人类仅在操作完成后收到通知。

现在构建AI就绪的行为基础

现代UEBA平台已经在生成AI兼容的行为数据。这些平台以AI代理可以轻松使用和采取行动的方式构建其输出。例如：

• 持续发现以最佳方式格式化和组织数据，以最适合LLM的上下文，以及如何为它们提供有效的工具
• 信号聚类算法以减少可能混淆AI代理决策的噪音。这确保只有有意义的行为异常到达自动化系统以采取行动
• 规则定制和匹配列表提供AI代理可以解释和采取行动的结构化数据。这为自主响应创建了清晰的决策树
• 历史基线功能创建丰富的训练数据集，而无需等待数月进行AI部署。组织可以利用多年的现有日志数据。AI代理可以立即开始操作，具有复杂的行为理解

有了这些已经到位的功能，组织可以无缝地从手动安全运营过渡到自动化安全运营。

在实施UEBA时，专注于真正的原则和可操作的策略：

1. 确保全面、高质量的数据集成

使用所有相关的数据源：现有日志、新遥测、身份系统、端点和云应用程序，以构建完整的行为配置文件。如果缺少关键数据，你应该收集它并添加到你的UEBA系统中。

2. 使用历史数据和快速观察期加速有意义的基线

利用历史日志数据快速建立基线，但这需要几天到几周的时间。根据需要补充新数据，以确保基线反映当前行为。

3. 将UEBA洞察与当前安全工作流程集成

UEBA应该利用SIEM和其他安全工具来提供高影响力的警报和运营价值。除非必要，否则避免需要广泛的新基础设施，并始终使解决方案与现有工具和流程保持一致。

这些方法提供即时价值并适应变化，以最大化行为分析的覆盖范围和准确性。

你的成功指标与你的实施同样重要。跟踪以下内容：

• UEBA捕获了多少你的传统系统错过的复杂威胁
• 受损账户的驻留时间减少
• 横向移动和未知攻击模式的覆盖范围改进
• 分析师从更丰富的上下文警报中获得的效率提升

这些指标向利益相关者证明价值，并帮助你持续改进方法。

虽然经典的基于规则的UEBA依赖于手动配置，但今天的UEBA平台通过使用统计模型、自适应基线和AI驱动的异常值检测的自主分析来增强这些基础。首次出现和异常值检测等功能确实利用规则，但它们作为动态、上下文感知系统的一部分运行，而不是一组静态匹配表达式。AI代理持续监控行为模式，从UEBA数据中学习，并自主响应威胁。

---

生如逆旅，一苇以航
我们应该静下心来，放下浮躁，不必有太着急的心态，把一件事情做好

感谢亲的点赞、收藏、评论，一键三连支持，谢谢