Skip to Content

什麼是 UEBA? 定義、效益及運作方式

UEBA 代表使用者與實體行為分析。過去稱為使用者行為分析,UEBA 是追蹤使用者行為異常的過程,用於識別潛在的網路安全風險或威脅。其構想是針對使用者行為設定大量資料,並使用設定內資料常態的變化,以觸發警示或特定行動,主動抵禦網路攻擊,或在造成過多損害前阻止網路攻擊。

UEBA 如何運作?

UEBA 追蹤組織使用者和實體的行為,以區分正常行為與異常行為。就網路安全而言,使用者或實體可以是任何 IT 系統、業務流程或組織(包括政府)。

UEBA 透過持續審查和分析資料來監控這些使用者和實體,以確定特定活動或行為是否異常,因此可能導致網路攻擊,因此可能具有危險性。

例如,駭客可能會竊取員工的密碼並登入系統。一旦進入系統,駭客的行為方式很可能與使用者過去的行為完全不同,因此會觸發網路威脅警示。

UEBA 透過機器學習、統計分析和進階分析的結合,實現了這種複雜的異常追蹤。通常,UEBA 系統為使用者行為建立一個“基線”,並比較活動與這個基線。

UEBA vs. SIEM:它們有何不同?

安全資訊和事件管理(SIEM)使用儀表板來提供所有安全相關資訊和事件的全面檢視,並在需要時觸發警報。SIEM 平台從各種安全工具和 IT 系統收集並彙總資料,然後分析這些資料。

另一方面,UEBA 系統則運用機器學習來分析使用者行為,因此可以使用這些資訊預測潛在的網路威脅,並傳送即時警示。SIEM 是原始流程,但公司很快就發現,將 UEBA 策略納入 SIEM 能讓 SIEM 更有效地即時監控威脅並迅速回應。這是因為 UEBA 會追蹤和分析使用者行為,而 SIEM 則不會。

UBA 與 UEBA:一樣嗎?

了解使用者行為分析(UBA)與 UEBA 之間的差異,最後要了解為何要加入 “E” 以及加入對象。

“UEBA”中的“E”代表“實體”,來自 2017 年出版的 Gartner 市場指南。這是第一次使用“UEBA”,而不是“UBA”。在此之前,BA 技術的主要重點是資料竊取和詐騙。但公司很快就意識到網路威脅的來源,遠遠不只是使用者,包括受管理與未受管理的端點、雲端與行動應用程式、網路,以及各種外部威脅。Gartner 將這些其他的網路風險來源稱為「實體」。

簡而言之,BA 和 UEBA 並不相同,但兩者關係非常密切。UEBA 是最新版本的 UBA。

UEBA vs. SOAR:哪一個比較好?

安全調度、自動化與回應(SOAR)工具讓組織能夠透過從不同系統和平台收集並集中資料,更快速地回應安全威脅。這樣一來,SOAR 工具就被視作一種為所有網路安全相關資料和活動實現“單一事實來源”的方法。SOAR 系統也可用於自動回應低層級的安全威脅。

雖然 SOAR 強調自動化、資料收集和彙總,但 UEBA 著重於使用者和實體行為的分析。SOAR 可以加快速度,但 UEBA 可以發現 SOAR 無法察覺的異常情況。因此,任何工具或方法都不能比其他工具或方法更好。相反地,它們是互補的,具有不同的優勢,而且可能最適合互相結合使用。

使用 UEBA 的三個理由

UEBA 是監控和限制潛在網路威脅的強大工具。以下是使用 UEBA 的三個主要原因:

  1. 減少攻擊面
  2. UEBA 通知安全團隊其系統出現漏洞和弱點,因此透過減少整體攻擊面來降低網路攻擊的可能性

  3. 提升營運效率
  4. UEBA 可透過自動化和機器學習來識別和驗證威脅,從而減少安全團隊的人工工作量。這讓資安專業人員有更多時間專注於真正的威脅,而不是追逐警示。

  5. 超能力
  6. 「超能力」可能令人驚嘆,但 UEBA 為組織帶來了某些網路安全相關的特殊力量,包括能夠在發生之前偵測潛在的資料外洩,識別被綁架的帳戶,並防止濫用特權。

    因此,UEBA,尤其是與其他策略,如 SOAR 的結合,是主動識別和預防網路攻擊,並減少組織暴露於網路威脅的非常有效方式。

12/2024
Making the Future More Efficient and Affordable
To address a disk space shortage,Reynaers invested in Pure Storage FlashArray and an ActiveCluster storage system.
客戶案例研究
4 頁面
聯繫我們
問題或建議

如對Pure的產品或認證,有任何的疑問或建議,歡迎與我們聯繫!

預約試用

預約現場示範,親眼看看 Pure 如何幫助您將資料轉化為強大的成果。 

聯絡我們:886-2-3725-7989

媒體:pr@purestorage.com

 

Pure Storage總部

34F, Taipei Nanshan Plaza,

No. 100, Songren Road,

Xinyi District,

Taipei City 110016

Taiwan (R.O.C.)

800-379-7873 (一般資訊)

info@purestorage.com

關閉
您的瀏覽器已不受支援!

較舊版的瀏覽器通常存在安全風險。為讓您使用我們網站時得到最佳體驗,請更新為這些最新瀏覽器其中一個。