本页内容
Log360 Cloud 中的用户和实体行为分析(UEBA) ManageEngine Log360 Cloud 是一项先进的安全分析能力,通过分析用户和实体行为模式来检测异常活动和潜在威胁。与传统的基于规则的检测系统不同,Log360 Cloud 的 UEBA 利用机器学习(ML)和统计建模来建立用户和主机的行为基线。这使得能够识别可能表明恶意活动的细微偏差,例如 内部威胁, 数据外泄, 帐户被侵害,以及 高级持续性威胁(APT).
Log360 Cloud 的 UEBA 还配备了 集成的风险评分 机制,为用户和实体分配风险评分。此机制帮助根据严重性优先处理潜在的恶意行为者,从而最大限度缩短事件响应时间(如果有的话)。
Log360 Cloud 的 UEBA 通过利用机器学习建立行为基线,提升安全分析能力,帮助检测例如逃避传统基于规则系统的缓慢移动威胁如高级持续性威胁(APT)。
不同于依赖预定义模式(如“5 分钟内发生五次登录失败”)的静态关联规则,UEBA 的异常检测识别偏离正常行为的情况。例如,一台设备与罕见的外部 IP 通信,或者一个通常仅由特定用户或主机访问的安全文件夹或文件集,突然被新的用户或主机访问,这最初将被标记为异常。但如果这种行为变得重复,模型会逐渐“学习”该行为,并不再标记为异常。虽然关联规则在标记已知攻击序列(例如暴力破解尝试后成功登录)方面表现出色,UEBA 更侧重于检测 上下文异常——即低风险、零星的活动,组合起来显示出隐秘攻击的迹象。
通过为这些异常用户和实体分配风险评分,Log360 Cloud 的 UEBA 优先处理那些可能成为潜在威胁的用户和实体,这些是关联规则可能遗漏的。这弥合了即时警报与长期攻击模式之间的差距。异常检测与关联规则协同提供分层防御:前者帮助发现新型或潜伏风险,后者针对特定预定义威胁,确保对已知和新兴攻击向量提供全面覆盖。
风险累积方法论
Log360 Cloud 的 UEBA 持续密切监控网络中用户和实体的异常行为。随着时间推移,如果某用户或实体反复检测出异常,其累积行为将导致风险评分升高,即使这些异常起初看似微不足道。这种方法对检测长期保持低调、执行细微动作从而躲避传统安全警报的高级持续性威胁(APT)非常有效。
时间模式识别
该方案监控用户和实体行为的时间模式,识别看似无害但整体揭示攻击方法的可疑活动进展。这项能力对应对那些在较长时间内运作以达成其目标的威胁行动者至关重要。
横向移动检测
通过跟踪实体关系和访问模式,Log360 Cloud 的 UEBA 能够识别 横向移动 ——APT 活动中的常见策略,攻击者在保持隐蔽性的同时逐步扩大对系统的控制。系统关联跨网络不同段看似无关的事件,揭露复杂攻击链。
数据外泄指标
UEBA 组件专门监控数据外泄尝试的细微指标,如 可疑的大量文件修改 或 删除 (针对 Windows 系统),以及 在 Salesforce 等云平台上的大量数据传输活动。 这些指标对于识别许多 APT 攻击的最终阶段至关重要。
另请参阅
本文档详细介绍了 Log360 Cloud UEBA 的概述与使用场景。有关配置及充分利用 UEBA 功能,请参阅以下文章: