自2015年Gartner将UBA正式更名为UEBA之后,经过近几年的发展,UEBA的有效性已经在如数据泄露、内部威胁、账号失陷、主机失陷等典型的场景中得到了应用和验证,在此不赘述。本文将对UEBA的实现过程做简要介绍,不涉及任何场景。从全息来看,完成UEBA的落地实施需要具备6个步骤:

NO.1数据采集

数据采集是第一步,也是基础。不同的数据采集方式获得数据类型和颗粒度也不尽相同。目前有两种典型的采集方式:日志(这里将代理方式也划分到日志方式)和网络流量。

日志方式:

根据设备和应用系统提供商预先提供的数据格式、颗粒度和内容等的相关规则,产生日志数据,同理安装代理方式也产生各种日志数据,并将日志数据发送到日志探针。

日志方式随着日志数据内容由少到多、颗粒度由粗到精细的过程,占用的资源会急剧增加,此时会给设备和应用系统带来一定的风险。所以在实施日志采集方式时,通常产生的日志数据都是最小集合和粗颗粒度的,而这对于以数据驱动为核心的UEBA来说,最终的效果会大打折扣。

网络流量方式:

一般是通过交换机镜像功能,将网络流量复制一份,发送到流量采集器。网络流量方式就是真实和实时的网络流量,包含更加全面的信息。同时,又具有无感知和零风险的特点,即通常说的旁路模式,不会改变现有的网络拓扑、不需要对现有的业务系统进行变更,也就不会影响业务,部署也方便易行。全息数据采集也是以网络流量方式为主,在某些情况下,可以采用日志方式作为补充。

NO.2信息识别

是对采集到的数据进行处理,从数据中提取出账号、用户、设备、应用、数据、IP等关键元素。

就日志方式来说,是对采集的日志进行数据标准化处理;网络流量方式则是对采集的流量,通常按照ISO模型进行2-7层解析和信息提取。

随着数据泄露事件的日益频发,如何保护敏感数据所面临的严峻挑战?2-7层信息采集方式显然已经不能胜任,需要更深层次的信息采集能力:2-8层信息提取。这里的第8层表示数据包的内容/上下文,也是通常所说的发现和识别敏感数据。

举个绿皮火车的例子以便于理解第8层信息。对于该列货车车厢来说, 2-7层解析能力类比表示:此时能够只看到车外部情况,包括车厢颜色、外形、车厢编号等信息;2-8层解析能力类比表示:除了前面的信息外,更进一步还能够看到车厢内的情况,比如车厢内运输的是什么(黄金、煤炭、食品等等)、数量、车厢内壁的颜色等等信息。就货车例子来说,我们除了需要2-7层基本信息外,我们更加需要第8层的信息。同理,在信息采集和提取方面,我们需要2-8层信息,全息数据采集模式原生就是从网络流量中实时提取2-8层信息。

NO.3行为刻画

经过数据采集和信息识别两阶段后,输出的关键元素,就是我们常说的用户和各种实体,它们又是第三阶段的输入,行为刻画是对所有用户和实体的行为基于时间序列进行持续不断的跟踪和画像。以全息对用户刻画为例,主要包括该用户都有哪些账号、访问哪些应用、Top应用是哪些、使用哪些文件、哪些敏感数据、都使用什么设备、什么时候在线、所在位置等属性信息。画像过程是建立基线的过程,通过画像将用户和实体的一切网络活动完全可视化。

NO.4关联分析

有了用户和实体的行为刻画数据后,就要考虑如何有效使用这些数据。关联分析是结合各类数据对安全事件进行分析的自动化过程。大部分安全事件很难在某一个或两个维度的分析下被发现,需要多维度考虑。如时间、网络层次、安全业务对象等维度。以全息网御来说,是从用户、设备、应用、数据4个维度做实时全息关联分析,不是一次性事件,而是自动化、持续化的过程,关联分析的结果很多情况下可以直接用于解决问题;另一个方面,关联分析作为UEBA落地的重要一环。

NO.5行为建模

行为建模阶段,对个体行为从多个维度在时间序列和地点域进行分析,不仅仅分析个体,还要对群组行为分析,基于行为刻画和关联分析的数据,建立群组基线和个体基线;借助平均值、方差、相似度等,对个体和群组行为对比,识别出偏离正常基线的行为。

NO.6异常检测

最后步骤是异常检测,使用各种机器学习算法如孤立森林、SVM, K-Means聚类等进行异常检测,不同的算法有各自的局限性,很难有一个算法适用所有场景,需要对异常检测的结果进行验证和回馈,还要综合个群对比特征等专项分析技术识别和发现异常行为,通过风险评分来缩小和减少误报的范围,更加精准的聚焦异常行为。异常检测不仅只是算法,而是综合上述6步构成UEBA基本落地步骤。

UEBA作为一种分析技术,是以数据驱动为核心主线,围绕用户多账号、多实体、多种敏感数据、关键应用、访问方式、部门、时间、地点、频度等等信息,综合运用各种技术贯穿从信息采集、提取、识别、关联、建模和检测的整个分析过程。UEBA 既是技术也可以作为一种工具,其特点是通过行为分析尽可能将异常行为从网络行为中分离出来,提供更加聚焦和精准的异常行为检测结果,从而有效的提升安全运营水平。

上述6个步骤中,每一个阶段都涉及大量内容,限于篇幅本文浮光掠影稍作介绍,以期让大家有基本了解,为大家今后有机会落地UEBA提供参考。

关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。

浅谈UEBA基本实现步骤相关推荐

  1. 浅谈GCC预编译头技术

    浅谈GCC预编译头技术 文/jorge --谨以此文,悼念我等待MinGW编译时逝去的那些时间. 其 实刚开始编程的时候,我是丝毫不重视编译速度之类的问题的,原因很简单,因为那时我用BASICA.后来 ...

  2. 浅谈大数据中的 2PC、3PC、Paxos、Raft、ZAB

    一致性 简述 一致性,是指对每个节点一个数据的更新,整个集群都知道更新,并且是一致的.假设一个具有N个节点的分布式系统,当其满足以下条件时,我们说这个系统满足一致性: 全认同: 所有N个节点都认同一个 ...

  3. 浅谈 UC 国际信息流推荐

    导读:本次分享的主题是浅谈UC国际信息流推荐.会跟大家探讨下发链路中常见的一些问题,主要包括两个场景: 列表页排序,包括:目标确定.多目标任务以及混排组合优化. 内容冷启问题,如果不做内容理解,能否做 ...

  4. java程序的装载与检查_浅谈Java类型装载、连接与初始化

    类型装载.连接与初始化 Java虚拟机通过装载.连接和初始化一个Java类型,使该类型可以被正在运行的Java程序所使用.其中装载就是把二进制形式的Java class文件读入Java虚拟机中去;连接 ...

  5. 必看!清华大学刘洋教授“浅谈研究生学位论文选题”方法,3月7日1小时视频公开课(附视频PPT下载)...

    来源:专知 本文约700字,建议阅读5分钟 清华大学计算机系长聘教授刘洋老师在线讲授了关于<浅谈研究生学位论文选题方法>的课程. 标签:论文研究方法 [ 导读 ]在继续抗击疫情之际,3月7 ...

  6. 【强烈推荐】清华大学刘洋老师【浅谈研究生学位论文选题方法】讲座

    关注上方"深度学习技术前沿",选择"星标公众号", 资源干货,第一时间送达! 在继续抗击疫情之际,3月7日,清华大学计算机系长聘教授刘洋老师在线讲授了关于< ...

  7. 浅谈算法和数据结构: 五 优先级队列与堆排序

    原文:浅谈算法和数据结构: 五 优先级队列与堆排序 在很多应用中,我们通常需要按照优先级情况对待处理对象进行处理,比如首先处理优先级最高的对象,然后处理次高的对象.最简单的一个例子就是,在手机上玩游戏 ...

  8. mysql怎么在海量数据上ddl_浅谈MySQL Online DDL(中)

    本文首发于个人微信公众号<andyqian>,期待你的关注! 前言 在上一篇文章中<浅谈MySQL Online DDL (上)>中,我们谈到了MySQL Online DDL ...

  9. Linux内核之浅谈内存寻址

    Linux内核之浅谈内存寻址 前言 最近在看内存寻址的内容,略有所得,发此文与大家一起交流.我们知道计算机是由硬件和软件组成,硬件主要包括运算器.控制器.存储器.输入设备和输出设备,软件主要是操作系统 ...

最新文章

  1. 《当下的哲学》[法]阿兰.巴迪欧(作者)epub+mobi+azw3格式下载
  2. Python爬虫还在写重试代码?快快学习下优雅的tenacity库!
  3. Where is number of opportunities not displayed message poped up
  4. 160 - 27 Cosh.1
  5. CSS之实现二级菜单动态出现
  6. 奇瑞a3中控按键图解_5万元价位人生第一辆爱车如何选 奇瑞艾瑞泽5对比吉利远景...
  7. 计算机信息规划工资,2020年工科类专业薪资最新排名,计算机很吃香,工资水平最高...
  8. 为什么写了value属性 jq赋值value值不显示_为什么 String 要设计成 final,又如何设计一个不可变类呢?...
  9. 解决Centos7安装docker源问题
  10. 农民讲习所建立通用程序 7 设计通用按键扫描模块
  11. 揭阳市计算机考证报名点在哪里
  12. Fortify 5.1漏洞整改方案(1)
  13. wpf中使用ListView
  14. 前端知识大全 - 收藏集 - 掘金
  15. htmltabl生成html表格并发送企业微信
  16. 《痞子衡嵌入式半月刊》 第 21 期
  17. 手动挡编辑器vim操控指南
  18. 【NLP相关】一些实用的NLP开源项目
  19. SSO: Basic-Auth OAuth2 SAML OpeanID
  20. 2022上海市安全员C证考试题库模拟考试平台操作

热门文章

  1. APP全栈工程师修炼之路(三)
  2. 【IPD流程学习 一】背景和目标
  3. mysql杀掉sql语句,Mysql使用kill命令解决死锁问题(杀死某条正在执行的sql语句)
  4. 计算机绘图如何设置精度2007,excel2007饼图百分比精确度如何设置
  5. 学校校车运营各项安全管理制度_学校校车安全管理制度.doc
  6. 将整型数字转化成大写格式
  7. 什么意思中文_中文十级考题,请解释这四句话是什么意思!
  8. QT随机放1个1和七个2_才知道,1个橙子放2个鸡蛋,只要拌一拌,出锅孩子吃了提高免疫力|橙子|鸡蛋|蒸蛋|食盐|白糖...
  9. 自动化测试Robot FrameWork框架
  10. el-tree对已知节点设置disable