七款流行的用戶行為分析(UEBA)工具及特點分析
為了應對不斷創新的網絡攻擊手段、更好地保護企業的數據安全,用戶和實體行為分析(UEBA)技術應運而生,它通過收集和分析來自各種來源的數據全面分析和檢測內部人員的可疑行為,并提供行為基準、集成威脅情報和補救工作流程等功能。雖然UEBA這個安全類別的落地應用形態各異,但幾項關鍵功能在整個行業具有高度的一致性,主要包括:
01監測分析
企業必須監測安全基礎設施中的網絡、設備和應用程序。UEBA工具不斷觀察IT系統,并在網絡流量和設備或應用程序的行為與預先配置的標準不一致時通知管理員。同時,利用機器學習識別用戶行為,以確定它們是否符合典型操作的預定標準。如果UEBA工具確定用戶的異常行為很危險,它會在儀表板上高亮顯示該模式,供安全管理員查看。
02確定警報的優先級
出現足夠嚴重的異常時,UEBA工具會觸發警報。由于這類工具長期研究典型的用戶和應用程序模式,意外情況發生時它們會留意到。UEBA工具常確定警報的優先級——對風險級別進行排序,這樣IT和安全人員可以決定優先處理哪個風險。
03管理用戶行為
UEBA解決方案監測用戶權限,并確定特定用戶的行為是否與分配給他們的權限相沖突。這有助于減少特權訪問濫用,還可以暴露惡意的內部活動。UEBA解決方案還經常監測實體或資產(比如筆記本電腦或服務器),以確定它們的行為是否異常,是否需要隔離或關閉。
04高級威脅識別
當UEBA工具監測系統并注意到異常時,它們通常會確定發生了什么類型的問題。這些威脅包括橫向移動和數據泄露,UEBA解決方案還可以告訴用戶威脅來自企業內部還是外部。這些信息對于幫助應對威脅攻擊者非常有用,特別是當他們是內部員工時。
隨著網絡技術發展加快,攻擊技術和惡意內部活動在越來越趨于隱蔽的同時,也呈現出多樣化態勢。因此,要真正實現用戶行為全過程解析并不容易,企業用戶需要進一步加強對UEBA技術的研究,并部署應用具有較高處理效率與檢測質量的UEBA工具。本文收集整理了7款較熱門的UEBA解決方案(詳見下表),并對其應用特點進行了分析。
圖片
1、Rapid7 InsightIDR
Rapid7 InsightIDR是集SIEM和XDR功能于一體的威脅檢測平臺,可以持續參考正常的用戶行為基線,查找已定義的攻陷指標。它旨在檢測難以發現的威脅,比如冒充公司員工的攻擊者或惡意內部人員企圖泄露數據的活動。如果企業正在尋找一款綜合的威脅防護安全解決方案,InsightIDR將是不錯的選擇,因為豐富的功能和出色的管理能力使其成為綜合表現完善的整體UEBA應用方案。
主要特點
?將行為活動自動關聯:InsightIDR能夠將客戶網絡上的事件與這些事件背后的特定用戶和實體關聯起來。
?用戶活動基準:該解決方案適應網絡上的用戶和實體,可以持續定義正常的活動行為。
?觀察列表:通過InsightIDR儀表板監測,可以發現并重點關注可能構成高風險的用戶。
?錯誤配置檢測:InsightIDR使用可視化日志搜索和預構建合規卡來檢測異常。
傳送門:https://www.rapid7.com/products/insightidr/
2、Microsoft Sentine
Microsoft Sentinel是一款云化的SIEM解決方案,同時也提供了可靠的UEBA功能。功能特性包括事件優先級確定、行為分類和事件時間軸管理等。除了這些功能之外,Sentinel還可以與微軟的XDR產品Defender整合,是Azure云客戶的理想選擇之一。
主要特點
?廣泛的數據收集能力:Sentinel可以從本地和多個云中的所有用戶、設備、應用程序和基礎設施提取行為相關的信息。
?橫向移動檢測:當Sentinel標記出可疑行為后,安全團隊可以通過該方案查看到應用程序或服務之間潛在的橫向移動情況。
?基于AI的威脅調查:相比手動搜索威脅,Sentinel具有強大的人工智能能力,可以幫助用戶更快地探索威脅和尋找奇怪的行為。
?沒有查詢限制:由于是云原生工具,Sentinel避免了一些可能阻礙本地系統保護企業的資源限制。
傳送門:https://azure.microsoft.com/en-us/products/microsoft-sentinel
3、FortiSIEM
FortiSIEM是由網絡安全廠商飛塔設計研發的綜合性SIEM產品,其整合的UEBA功能全面包括了內部威脅識別、用戶行為風險評分和受攻擊賬戶檢測等能力。FortiSIEM是一款強大的網絡威脅防護解決方案,理論上說適用于任何企業,不過在實際應用時,它尤其適用于已經使用飛塔防火墻等設備的用戶,因為通過與FortiGate設備集成,可以更加方便地共享數據。
主要特點
?檢測異常端點行為:廣泛的端點數據可以反映出受攻擊的系統或賬戶,或者疏忽或惡意的內部人員。
?威脅情報:FortiSIEM支持提供CSV文件或支持STIC/TAXII標準1.0、1.1和2.0的威脅源。
?實時關聯引擎:FortiSIEM可以動態運行數百條與用戶活動相關聯的監測規則。
?基于機器學習的檢測:管理員可以通過機器學習,自動化查看異常行為和用戶,無需自己來人工編寫所有規則。
傳送門:https://www.fortinet.com/products/siem/fortisiem
4、LogRhythm SIEM
LogRhythm是一款提供了強大UEBA功能的新型SIEM平臺,主要特點就是使用機器學習技術來檢測內部威脅、蠻力攻擊和管理濫用等異常情況。LogRhythm的文件完整性監測功能可以快速查詢到不合規的文件訪問。如果用戶存儲大量含有敏感數據的文件,不妨考慮部署應用LogRhythm。LogRhythm可能需要幾個月的時間來進行全面定制。但是對于具有高級SIEM需求的專業安全運營團隊來說,它是一個很好的UEBA解決方案。
主要特點:
?威脅情報集成:LogRhythm SIEM可以與目前主要的商業威脅源和開源威脅源集成。
?針對個別異常的評分機制:通過個別異常評分和匯總用戶評分,用戶可以優先確定哪些潛在威脅需要調查和緩解。
?自動威脅響應操作:LogRhythm可以通過自動實施威脅響應(比如文件隔離和URL阻止)幫助減少人員工作量。
?威脅分析模型:通過該模型,平臺可以將用戶身份對照自己的基準或所有被監測的身份進行威脅比對。
傳送門:https://logrhythm.com/products/logrhythm-siem/
5、Cynet 360 AutoXDR
Cynet 360 AutoXDR是一款應用廣泛的威脅檢測和響應平臺,能夠為企業提供單一的多租戶平臺化服務,將端點、用戶和網絡安全功能融合在一個完整的服務套件中。UEBA也屬于該平臺的網絡安全能力范疇,提供了廣泛的UBA特性及其他安全工具,因此它是適合大企業的不錯選擇,尤其適合希望快速增強網絡威脅檢測和響應能力的安全團隊。
主要特點
?網絡響應編排:劇本式的威脅處置操作可幫助團隊處理受感染的主機、惡意文件、網絡流量和受攻擊的用戶賬戶。
?CyOps:Cynet提供由專業SOC專家輔助的24/7 MDR服務,協助深入調查、主動威脅搜索和攻擊報告。
?用戶行為監測:Cynet查找表明用戶賬戶受攻擊的異常行為。
?風險級別識別:平臺的UEBA功能使用全面的用戶信息來確定用戶的整體風險級別。
傳送門:https://www.cynet.com/cynet-360-for-compliance-frameworks/
6、Exabeam
Exabeam是一家安全運營服務提供商,UEBA是其主要服務功能之一,主要特點包括事件時間線管理、基于角色的訪問控制以及常規性SIEM平臺服務。Exabeam的最大特點就是可以與數百個第三方安全工具集成,并支持眾多的數據源格式,包括Salesforce應用等非安全數據源,因此非常適合需要眾多數據源的企業使用。
主要特點
?可以與SIEM系統集成:Exabeam允許客戶將其UEBA解決方案與那些已經在使用的SIEM解決方案集成。
?其他預構建系統集成:除了SIEM外,Exabeam還與Microsoft 365、VMware ESXi、Salesforce和CrowdStrike等產品集成。
?異常行為分析能力:Exabeam結合來自多個產品的可疑信號以發現復雜的行為威脅。
?用戶群體分類:Exabeam根據關系(比如同一個業務部門的內部用戶)對用戶和其他實體(比如設備)進行分類。
7、Splunk UEBA
Splunk UBA是一款較為少見的獨立用戶行為分析產品,提供了團隊監測、分析和檢測用戶威脅所需的各項功能。企業可以使用Splunk的威脅監測工作流程來改善當前的安全狀況。這項技術將企業中海量的原始事件警報聚焦到幾個最有可能發生的威脅。對于想要一個專門用于用戶分析獨立解決方案的團隊,可以選擇使用Splunk UEBA。
主要特點
?事件優先級確定:每個異常都有自己的風險評分,Splunk可以幫助團隊優先響應最關鍵的問題。
?多重異常和威脅模型:這些Splunk模型專注于檢測企業外部的威脅。
?高級威脅檢測:該產品旨在檢測賬戶接管、指揮和控制活動以及瀏覽器漏洞。
?數據泄露檢測:Splunk可以搜尋從存儲位置提取或傳輸敏感公司信息的活動。
傳送門:https://www.splunk.com/en_us/products/user-behavior-analytics.html
參考鏈接:https://www.esecurityplanet.com/products/best-user-and-entity-behavior-analytics-ueba-tools/
