UEBA：产品选型的七大评估指标

作者：大乘智能

UEBA解决方案致力通过使用人工智能、机器学习、高级分析、数据富化和数据科学等新兴科技来有效应对高级威胁、未知威胁。UEBA解决方案将所有数据材料组合在一起进行分析、并自动合成结果，ML系统通过行为建模进行自我调整，安全分析师最终获得的数据量较少、但保真度极高，不会淹没警报，对于企业级客户而言非常有价值维护开销很低。通过UEBA解决方案企业客户可获得真正有效的针对未知攻击的面向未来的解决方案。

当前市场上存在着许多供应商声称可以提供UEBA功能，但其实现方式各异、使评估比较变得相对困难。企业单位可使用以下指标来指导选择有效的UEBA解决方案。

1.1 具备在用户会话时间轴内显示正常活动和异常活动的能力

“正常”活动是给定用户和该用户的对等用户的典型行为，需要显示上下文。例如，此用户通常访问特定的服务器还是该敏感数据库？该用户通常通过乌克兰的VPN通过网络访问网络吗？该用户通常将大文件上传到网盘吗？另外，用户的对待体组通常也做同样的事情吗？UEBA应该具备在用户会话时间轴内显示正常活动和异常活动的能力。这使调查人员可以在更广泛的范围内了解情况，从而大大减少了在数据收集，验证和后续调查上花费的时间。

正常行为的展示也证明了检测结果不是来自静态的相关性规则，因为规则仅在满足不良条件时才会触发，在非恶意条件下不会有任何显示。这也是区别是通过ML技术还是关联性分析技术来实现的一个重要特征。

1.2 具备将主机链接到IP和用户身份的能力
hostname很多，通常不提供很多有用的标识信息。IP地址也可能是DHCP随机分配的，帐户凭据有可能是共享的（尤其是管理帐户）。主机到IP到用户的映射将在特定时间使用特定IP地址将特定主机上的活动归于特定人员。即使使用共享帐户，UEBA也可以显示出将主机主动链接到IP和身份的能力。这使威胁检测更加有效。手动连接这些点可能需要数小时的工作，因此自动执行这些操作会大大减少调查和采取补救措施的时间。

1.3 具备检测横向移动的能力
帐户遭到入侵的关键指标是横向移动。在攻击链的早期，黑客将在整个网络中移动以寻找有价值的信息，在用户凭据和设备之间跳转以掩盖其活动、避免被检测到。即使用户更改帐户、机器或IP地址，UEBA也应展示出跟踪横向移动的能力，此功能可确保有效检测和更准确的事件调查。

1.4 具备自动创建所有事件的时间表的能力
活动数据以事件的形式生成，但是检测和响应需要时间表。将事件缝合到一致的时间轴中通常需要大量的人工，需要花费数小时或数天的时间。完整的时间表应包括用户和所有其他实体在从登录到注销的会话期间与之交互的所有活动，并使用来自所有相关端点、网络、安全性和其他系统的数据。UEBA应该展示出能够快速、自动地生成一致的用户活动时间表的能力。许多UEBA工具没有提供事件调查的时间表，有些充其量只能提供部分内容。机器构建的时间轴可提供更好的界面，初级分析师可以轻松使用它，而不是呈现离散事件。

1.5 具备快速部署并显示价值的能力
当您的组织考虑使用UEBA选项时，请寻找可以在相对短时间内部署起来的能力，并且提供内置用例，而无需从头开始自定义所有内容。UEBA应展示其设计和能够在较短时间内部署并开始运行的能力，并显示出明显的价值。

1.6 无需任何额外费用即可轻松满足未来需求
UEBA应该展示出可以扩展和扩展到新功能的能力，而无需专业服务或供应商提供的新工程。当客户更改环境，添加新的数据源或尝试解决新的用例时，需要大量服务来设置和调整其部署的供应商通常需要付出相同的努力，而所需的成本却会降低，有效的UEBA可以轻松随需求变化显示价值。

1.7 提供主动的威胁搜寻功能
使用UEBA解决方案进行威胁搜寻需要对收集的安全数据执行简单和复杂的搜索。它不需要对专有查询语言有深入的了解，不需要对语法的严格关注，也不需要将多个更简单的搜索结果组合在一起。返回结果也不需要花费几个小时。由机器构建的时间线驱动的威胁搜寻功能具有广泛的下拉菜单，涵盖了各种潜在的论点，对会话化（即高度索引）的数据进行操作并返回完整的事件时间线–而不是提供一组看似无关的事件记录。

结论
评估UEBA的供应商实施方案的变化可能会很困难，上述的的7条标准指南为企业单位提供了一条使比较过程更容易的清晰途径。