网络安全用户实体行为分析系统(UEBA)
我们的 UEBA 系统通过机器学习建立行为基线,利用序列分析检测多阶段攻击链,填补传统安全规则在内部威胁和账号失陷检测上的空白,保护企业核心数据资产。
企业级用户实体行为分析(User and Entity Behavior Analytics,UEBA)是现代安全运营中心(SOC)应对内部威胁、账户失陷和高级持续性威胁(APT)的核心技术支柱。与传统的基于签名或静态规则的安全产品不同,UEBA通过机器学习、统计分析和行为基线化技术,将关注点从“已知威胁特征”转向“行为模式本身”。它能够检测那些“合法但恶意”的内部人员活动,以及使用合法凭证进行攻击的“无文件”或“离地”攻击。一个完整的企业级UEBA系统,其功能架构覆盖从底层数据采集到上层自动化响应的全链条。
以下是我们自研的UEBA系统,为大家从五大维度对UEBA系统做下介绍:
一、 基础数据层:多源异构数据的聚合与实体解析
这一层解决了UEBA分析的“原材料”问题。系统必须能够消化来自企业不同角落的数据,并将其归一化到统一的实体(用户、设备、应用)上。
广泛的日志与流量接入
- 数据源类型:支持采集认证日志(VPN、AD/Azure AD、OA系统)、网络流量元数据(NetFlow)、数据安全日志(DLP、数据库审计、云访问安全代理)、终端行为(EDR、主机审计)以及应用日志(SaaS应用、自建业务系统)。
- 上下文数据同步:能够与人力资源系统(HR)或身份治理(IGA)系统同步,获取用户的组织架构、部门、职位、在职状态以及离职日期等静态属性,为判断“离职员工违规访问”等场景提供基础依据。
实体解析与画像构建
- 多源实体归一:利用图算法或关联规则,将同一自然人或设备在不同系统中的“影子身份”进行聚类归并。例如,将“域账号user01”、“VPN IP地址10.0.0.1”、“邮箱user01@company.com”统一关联到同一个实体画像上。
- 动态画像特征提取:不仅仅是静态标签,系统会持续计算实体的动态特征,如“常用登录时间范围”、“常用源IP地理位置”、“历史访问的敏感文件类型数量”以及“通常使用的User-Agent”等。
二、 智能分析层:行为基线化与异常识别引擎
这是UEBA的“大脑”,也是其区别于SIEM的核心所在。该层通过算法自动学习“正常”,从而发现“异常”,无需依赖已知的威胁签名。
多维度行为基线建立
- 个体行为基线:针对每一个独立用户或设备,通过至少30天的历史数据学习其独有的行为规律。例如,某员工通常在每天9:00-18:00工作,日均下载量为50M。基线涵盖时间、地点、操作量、操作频率等多个维度。
- 群体行为基线:针对特定的职能部门(如财务部、研发部、人力资源部)建立群体行为轮廓。例如,“研发部平均每月访问git代码库1000次”,如果某财务人员突然频繁访问git,将触发高风险告警。
- 周期性自动更新:基线不是静态的,系统会根据按天/按周的周期性规律以及长期趋势,自动调整基线参数,以适应员工职责变动或业务波动的正常需求。
高级异常检测逻辑
- 统计异常检测:针对偏离均值过远的简单指标,如“单小时登录失败次数(可能为爆破)”、“短时间内访问文件数量激增(可能为数据窃取)”等。
- 序列异常检测:识别多步骤的可疑行为链条,这对应攻击的杀伤链。例如:“下载敏感数据库 -> 上传至外部云盘 -> 清空本地日志”这样一系列连贯动作组合。
- 地缘/时间逻辑检测:检测物理上不可能的行为(Impossible Travel),例如:一个账户在5分钟内在纽约和伦敦同时发起了登录;或是在凌晨3点(非工作时间)从高风险地区发起大量数据导出操作。
- Peer Group分析:将目标个体的行为与其具有相同角色或权限的同事进行横向比较。如果某经理的邮件访问量是部门平均水平的10倍,系统将判定为异常。
基于MITRE ATT&CK的攻击行为映射
- 战术技术分类:UEBA系统不仅发出“异常”信号,还应自动将异常行为映射到MITRE ATT&CK框架的战术阶段(如“初始访问”、“横向移动”、“数据渗出”)。这帮助安全分析师快速理解异常行为在攻击链中的位置和目的。
三、 风险评估层:评分、排序与上下文富化
该层负责将技术层面的“异常”转化为业务层面的“风险”,解决海量告警带来的“告警疲劳”问题。
动态风险评分机制
- 加权评分模型:综合考虑行为的偏离程度、涉及资产的敏感性(如核心数据库 vs 测试服务器)、用户的历史信誉以及行为发生的上下文。高风险操作(如删除备份)会增加更多分数。
- 风险衰减与累积:随着时间推移,若未发生新的异常,风险评分会逐渐衰减;反之,若同一实体在短时间内触发多个低风险异常,系统会将其累积为高风险事件,识别“慢速”攻击。
上下文情报富化
- 威胁情报叠加:将UEBA检测到的异常IP、域名或文件哈希与外部商业威胁情报进行碰撞。例如,如果发现用户访问了一个从未去过的高风险IP,系统会标记“威胁情报命中”以辅助研判。
- 资产重要性标注:在告警中明确标注受影响资产的业务重要性(如“域控服务器”、“核心交易系统”),引导运营人员优先处理影响业务核心的告警。
四、 运营响应层:调查取证与自动化处置
这一层是UEBA价值落地的最后一步,提供可视化的工具链来验证和处置威胁。
实体时间轴与可视化溯源
- 用户/实体360°视图:提供一个针对特定用户或设备的独立仪表板,展示其完整的动态画像、风险评分走势图以及按时间排序的所有行为事件(登录、文件访问、配置更改)。
- 攻击故事线:将分散的告警和异常行为串联成一个连贯的叙事。不仅仅是“10:00告警A、10:05告警B”,而是呈现“10:00:用户x从新IP登录 -> 10:05:枚举共享文件列表 -> 10:10:下载机密文档xlsx”。
- 原始日志下钻:从抽象的“行为摘要”一键下钻至原始的日志记录和会话详情,以便在调查取证时获取完整的证据链。
可配置的自动响应(与SOAR联动)
- 自动化剧本触发:当UEBA风险评分超过阈值或特定序列行为(如“疑似勒索软件加密行为”)被确认时,自动触发预定义的响应剧本。动作可包括:自动挂载AD账户、隔离终端网络、强制用户注销、生成Jira工单或发送即时通讯通知。
- 自定义检测画布:部分高级UEBA系统提供低代码或无代码的检测规则配置平台,允许安全分析师通过拖拽的方式,结合特征提取函数、机器学习和策略模块,自定义新的行为检测场景,无需依赖数据科学团队。
五、 合规与特定场景应用
内部威胁专项检测
- 离职/在职风险:重点监测即将离职员工的批量数据下载、删除个人邮件或复制代码仓库行为;监控在职员工的权限滥用(如HR私自查看高管工资单)。
- 账号失陷检测:通过识别账号登录时间、地点、设备的突然改变,以及登录后执行的非典型操作(如不常使用的命令),快速定位被攻击者窃取并使用的合法账号。
数据防泄漏(DLP)增强
- 传统的DLP基于关键词和正则表达式,UEBA则能检测“异常量的数据移动”。即使文件本身不包含敏感关键词,但如果一个会计人员在半小时内导出10万条数据库记录,UEBA会将其判定为高风险数据泄漏事件。
自动化合规报告
- 提供针对内部管控的审计报告,例如“所有异常访问敏感数据的行为清单”、“特权用户操作合规性报告”,以满足等保2.0、GDPR等法规对内部操作审计的要求。