Skip to Content

什麼是 UEBA? 定義、效益及運作方式

UEBA 代表使用者與實體行為分析。過去稱為使用者行為分析,UEBA 是追蹤使用者行為異常的過程,用於識別潛在的網路安全風險或威脅。其構想是針對使用者行為設定大量資料,並使用設定內資料常態的變化,以觸發警示或特定行動,主動抵禦網路攻擊,或在造成過多損害前阻止網路攻擊。

UEBA 如何運作?

UEBA 追蹤組織使用者和實體的行為,以區分正常行為與異常行為。就網路安全而言,使用者或實體可以是任何 IT 系統、業務流程或組織(包括政府)。

UEBA 透過持續審查和分析資料來監控這些使用者和實體,以確定特定活動或行為是否異常,因此可能導致網路攻擊,因此可能具有危險性。

例如,駭客可能會竊取員工的密碼並登入系統。一旦進入系統,駭客的行為方式很可能與使用者過去的行為完全不同,因此會觸發網路威脅警示。

UEBA 透過機器學習、統計分析和進階分析的結合,實現了這種複雜的異常追蹤。通常,UEBA 系統為使用者行為建立一個“基線”,並比較活動與這個基線。

UEBA vs. SIEM:它們有何不同?

安全資訊和事件管理(SIEM)使用儀表板來提供所有安全相關資訊和事件的全面檢視,並在需要時觸發警報。SIEM 平台從各種安全工具和 IT 系統收集並彙總資料,然後分析這些資料。

另一方面,UEBA 系統則運用機器學習來分析使用者行為,因此可以使用這些資訊預測潛在的網路威脅,並傳送即時警示。SIEM 是原始流程,但公司很快就發現,將 UEBA 策略納入 SIEM 能讓 SIEM 更有效地即時監控威脅並迅速回應。這是因為 UEBA 會追蹤和分析使用者行為,而 SIEM 則不會。

UBA 與 UEBA:一樣嗎?

了解使用者行為分析(UBA)與 UEBA 之間的差異,最後要了解為何要加入 “E” 以及加入對象。

“UEBA”中的“E”代表“實體”,來自 2017 年出版的 Gartner 市場指南。這是第一次使用“UEBA”,而不是“UBA”。在此之前,BA 技術的主要重點是資料竊取和詐騙。但公司很快就意識到網路威脅的來源,遠遠不只是使用者,包括受管理與未受管理的端點、雲端與行動應用程式、網路,以及各種外部威脅。Gartner 將這些其他的網路風險來源稱為「實體」。

簡而言之,BA 和 UEBA 並不相同,但兩者關係非常密切。UEBA 是最新版本的 UBA。

UEBA vs. SOAR:哪一個比較好?

安全調度、自動化與回應(SOAR)工具讓組織能夠透過從不同系統和平台收集並集中資料,更快速地回應安全威脅。這樣一來,SOAR 工具就被視作一種為所有網路安全相關資料和活動實現“單一事實來源”的方法。SOAR 系統也可用於自動回應低層級的安全威脅。

雖然 SOAR 強調自動化、資料收集和彙總,但 UEBA 著重於使用者和實體行為的分析。SOAR 可以加快速度,但 UEBA 可以發現 SOAR 無法察覺的異常情況。因此,任何工具或方法都不能比其他工具或方法更好。相反地,它們是互補的,具有不同的優勢,而且可能最適合互相結合使用。

使用 UEBA 的三個理由

UEBA 是監控和限制潛在網路威脅的強大工具。以下是使用 UEBA 的三個主要原因:

  1. 減少攻擊面
  2. UEBA 通知安全團隊其系統出現漏洞和弱點,因此透過減少整體攻擊面來降低網路攻擊的可能性

  3. 提升營運效率
  4. UEBA 可透過自動化和機器學習來識別和驗證威脅,從而減少安全團隊的人工工作量。這讓資安專業人員有更多時間專注於真正的威脅,而不是追逐警示。

  5. 超能力
  6. 「超能力」可能令人驚嘆,但 UEBA 為組織帶來了某些網路安全相關的特殊力量,包括能夠在發生之前偵測潛在的資料外洩,識別被綁架的帳戶,並防止濫用特權。

    因此,UEBA,尤其是與其他策略,如 SOAR 的結合,是主動識別和預防網路攻擊,並減少組織暴露於網路威脅的非常有效方式。

03/2025
Efficient, Simple Data Solutions for State and Local Governments
Pure Storage partners with state and local governments to transform data into powerful outcomes whether deploying traditional workloads, modern applications, containers, or more.
解決方案簡介
4 頁

瀏覽重要資訊與活動

精神領袖
創新競賽

儲存創新最前線的產業領導者最新深度資訊與觀點。

了解更多資訊
分析報告
規劃高度網路彈性的未來

了解協作策略,完整運用網路安全投資,並確保迅速回應與復原。

閱讀報告
資源
儲存設備的未來:AI 紀元的新準則

了解 AI 等新挑戰如何促成資料儲存需求轉型,需要嶄新思維與現代化做法才能成功。

下載電子書
資源
不再購買儲存,擁抱平台體驗

探索企業級儲存平台需求、元件與選用流程。

閱讀報告
聯繫我們
聯絡Pure訊息 標誌
聊天標誌
問題或建議

如對Pure的產品或認證,有任何的疑問或建議,歡迎與我們聯繫!

關鍵標誌
預約試用

預約現場示範,親眼看看 Pure 如何幫助您將資料轉化為強大的成果。 

聯絡我們:886-2-3725-7989

媒體:pr@purestorage.com

 

Pure Storage總部

34F, Taipei Nanshan Plaza,

No. 100, Songren Road,

Xinyi District,

Taipei City 110016

Taiwan (R.O.C.)

800-379-7873 (一般資訊)

info@purestorage.com

關閉
關閉關閉 X 標誌
您的瀏覽器已不受支援!

較舊版的瀏覽器通常存在安全風險。為讓您使用我們網站時得到最佳體驗,請更新為這些最新瀏覽器其中一個。