一、UEBA 是什么？

UEBA 是一种安全分析技术，它通过分析用户和其他实体（如服务器、设备、应用程序、数据等）的行为模式，来识别潜在的恶意活动或内部威胁。

它的核心思想是：“知其所以然，才能发现异常”。

• 传统安全工具（如防火墙、IDS/IPS）：基于已知的签名和规则。它们回答的问题是：“这个行为是否符合已知的攻击模式？”
• UEBA：基于机器学习和统计分析，建立行为基线。它们回答的问题是：“这个行为对于这个特定用户/实体来说，是否正常？”

二、为什么需要 UEBA？

传统安全防护主要针对“外部威胁”，但现代企业面临的最大风险之一来自“内部威胁”，包括：

1. 恶意内部人员：心怀不满的员工故意窃取数据或搞破坏。
2. 失陷账户：外部攻击者通过钓鱼、撞库等手段获取了合法用户的凭证，然后以该用户身份进行操作。
3. 无意失误：员工无意的错误操作导致安全事件。

这些威胁利用的是合法的身份和权限，因此可以轻松绕过传统基于规则和签名的防御措施。UEBA 正是为了检测这类“低且慢”的攻击而诞生的。

三、UEBA 的核心工作原理

UEBA 的工作流程可以概括为以下四个步骤：

1. 数据采集

UEBA 系统从企业各处收集大量数据，构建分析上下文。数据源通常包括：

• 身份认证系统：Active Directory, Okta, PingFederate 等的登录日志。
• 网络设备：防火墙、代理服务器、NetFlow 数据。
• 终端设备：EDR（端点检测与响应）代理。
• 应用系统：ERP（如SAP）、CRM（如Salesforce）、邮件服务器、数据库访问日志等。
• 云平台：AWS CloudTrail, Azure Activity Logs 等。
• 数据安全系统：DLP（数据防泄漏）日志。

2. 行为建模与基线建立

这是 UEBA 的大脑。系统使用机器学习、统计分析和规则引擎，对收集到的数据进行分析，为每个用户和实体建立正常行为基线。

• 用户行为模型：例如，张三通常在北京时间 9:00-18:00 登录，从 IP 段 192.168.1.*访问，最常使用财务系统和内部Wiki，每周平均下载 5MB的文件。
• 实体行为模型：例如，服务器 SVN001通常只被运维团队的几个特定成员在特定时间通过跳板机访问。

3. 风险分析与异常检测

系统将实时行为与已建立的基线进行对比，计算风险分数。异常行为包括：

• 时间异常：凌晨 3 点登录。
• 地点异常：从从未出现过的国家（如俄罗斯）登录。
• 行为量异常：单日下载量是过去一年平均值的 100 倍。
• 权限异常：访问了从未访问过的高敏感度服务器或文件。
• 速度异常：在极短时间内尝试访问大量资源。

单个异常可能只是巧合（例如员工出差），但多个异常组合在一起就会产生很高的风险分数。

4. 告警与响应

当风险分数超过预定阈值时，系统会生成告警，并与 SOAR（安全编排、自动化与响应）系统或 SIEM（安全信息与事件管理）系统集成，触发响应流程，例如：

• 向安全运营中心（SOC）发送告警。
• 要求进行多因素认证（MFA）。
• 自动禁用可疑账户。
• 启动调查工单。

四、UEBA 的核心能力与优势

1. 检测未知威胁：不依赖已知攻击签名，能发现新型攻击和高级持续性威胁（APT）。
2. 降低误报率：通过上下文分析和风险评分，比传统规则引擎更智能，误报更少。
3. 聚焦关键告警：帮助安全分析师从海量日志中 prioritise（优先处理）真正的威胁。
4. 洞察内部威胁：专门为检测内部人员滥用和账户失陷而设计。

五、UEBA 与相关技术的关系

• UEBA vs. SIEM：
• SIEM 是一个更广泛的日志聚合和事件管理平台。它是数据的“水库”。
• UEBA 是高级分析引擎。它通常是 SIEM 的一个功能模块或一个可与 SIEM 集成的独立产品。UEBA 让 SIEM 变得更智能。
• UEBA vs. SOAR：
• UEBA 负责“发现和评估风险”。
• SOAR 负责“响应和处理风险”。
• 两者协同工作：UEBA 将高风险警报发送给 SOAR，SOAR 自动执行预定义的应对流程。

总结

UEBA 代表了网络安全从“ perimeter-based ”（基于边界）防御向“ identity-centric ”（以身份为中心）和“ behavior-based ”（基于行为）防御的战略转变。在零信任架构中，UEBA 是实现持续验证的关键技术之一。它通过回答 “这个行为对这个用户/设备来说正常吗？” 这个问题，有效地保护企业免受最隐蔽和最具破坏性的威胁。