浅谈UEBA基本实现步骤

自2015年Gartner将UBA正式更名为UEBA之后，经过近几年的发展，UEBA的有效性已经在如数据泄露、内部威胁、账号失陷、主机失陷等典型的场景中得到了应用和验证，在此不赘述。本文将对UEBA的实现过程做简要介绍，不涉及任何场景。从全息来看，完成UEBA的落地实施需要具备6个步骤：

NO.1数据采集

数据采集是第一步，也是基础。不同的数据采集方式获得数据类型和颗粒度也不尽相同。目前有两种典型的采集方式：日志（这里将代理方式也划分到日志方式）和网络流量。

日志方式：

根据设备和应用系统提供商预先提供的数据格式、颗粒度和内容等的相关规则，产生日志数据，同理安装代理方式也产生各种日志数据，并将日志数据发送到日志探针。

日志方式随着日志数据内容由少到多、颗粒度由粗到精细的过程，占用的资源会急剧增加，此时会给设备和应用系统带来一定的风险。所以在实施日志采集方式时，通常产生的日志数据都是最小集合和粗颗粒度的，而这对于以数据驱动为核心的UEBA来说，最终的效果会大打折扣。

网络流量方式：

一般是通过交换机镜像功能，将网络流量复制一份，发送到流量采集器。网络流量方式就是真实和实时的网络流量，包含更加全面的信息。同时，又具有无感知和零风险的特点，即通常说的旁路模式，不会改变现有的网络拓扑、不需要对现有的业务系统进行变更，也就不会影响业务，部署也方便易行。全息数据采集也是以网络流量方式为主，在某些情况下，可以采用日志方式作为补充。

NO.2信息识别

是对采集到的数据进行处理，从数据中提取出账号、用户、设备、应用、数据、IP等关键元素。

就日志方式来说，是对采集的日志进行数据标准化处理；网络流量方式则是对采集的流量，通常按照ISO模型进行2-7层解析和信息提取。

随着数据泄露事件的日益频发，如何保护敏感数据所面临的严峻挑战？2-7层信息采集方式显然已经不能胜任，需要更深层次的信息采集能力：2-8层信息提取。这里的第8层表示数据包的内容/上下文，也是通常所说的发现和识别敏感数据。

举个绿皮火车的例子以便于理解第8层信息。对于该列货车车厢来说， 2-7层解析能力类比表示：此时能够只看到车外部情况，包括车厢颜色、外形、车厢编号等信息；2-8层解析能力类比表示：除了前面的信息外，更进一步还能够看到车厢内的情况，比如车厢内运输的是什么（黄金、煤炭、食品等等）、数量、车厢内壁的颜色等等信息。就货车例子来说，我们除了需要2-7层基本信息外，我们更加需要第8层的信息。同理，在信息采集和提取方面，我们需要2-8层信息，全息数据采集模式原生就是从网络流量中实时提取2-8层信息。

NO.3行为刻画

经过数据采集和信息识别两阶段后，输出的关键元素，就是我们常说的用户和各种实体，它们又是第三阶段的输入，行为刻画是对所有用户和实体的行为基于时间序列进行持续不断的跟踪和画像。以全息对用户刻画为例，主要包括该用户都有哪些账号、访问哪些应用、Top应用是哪些、使用哪些文件、哪些敏感数据、都使用什么设备、什么时候在线、所在位置等属性信息。画像过程是建立基线的过程，通过画像将用户和实体的一切网络活动完全可视化。

NO.4关联分析

有了用户和实体的行为刻画数据后，就要考虑如何有效使用这些数据。关联分析是结合各类数据对安全事件进行分析的自动化过程。大部分安全事件很难在某一个或两个维度的分析下被发现，需要多维度考虑。如时间、网络层次、安全业务对象等维度。以全息网御来说，是从用户、设备、应用、数据4个维度做实时全息关联分析，不是一次性事件，而是自动化、持续化的过程，关联分析的结果很多情况下可以直接用于解决问题；另一个方面，关联分析作为UEBA落地的重要一环。

NO.5行为建模

行为建模阶段，对个体行为从多个维度在时间序列和地点域进行分析，不仅仅分析个体，还要对群组行为分析，基于行为刻画和关联分析的数据，建立群组基线和个体基线；借助平均值、方差、相似度等，对个体和群组行为对比，识别出偏离正常基线的行为。

NO.6异常检测

最后步骤是异常检测，使用各种机器学习算法如孤立森林、SVM， K-Means聚类等进行异常检测，不同的算法有各自的局限性，很难有一个算法适用所有场景，需要对异常检测的结果进行验证和回馈，还要综合个群对比特征等专项分析技术识别和发现异常行为，通过风险评分来缩小和减少误报的范围，更加精准的聚焦异常行为。异常检测不仅只是算法，而是综合上述6步构成UEBA基本落地步骤。

UEBA作为一种分析技术，是以数据驱动为核心主线，围绕用户多账号、多实体、多种敏感数据、关键应用、访问方式、部门、时间、地点、频度等等信息，综合运用各种技术贯穿从信息采集、提取、识别、关联、建模和检测的整个分析过程。UEBA 既是技术也可以作为一种工具，其特点是通过行为分析尽可能将异常行为从网络行为中分离出来，提供更加聚焦和精准的异常行为检测结果，从而有效的提升安全运营水平。

上述6个步骤中，每一个阶段都涉及大量内容，限于篇幅本文浮光掠影稍作介绍，以期让大家有基本了解，为大家今后有机会落地UEBA提供参考。

关于全息网御：全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术，结合机器学习（人工智能），发现并实时重构网络中不可见的”用户-设备-数据”互动关系，推出以用户行为为核心的信息安全风险感知平台，为企业的信息安全管理提供无感知、无死角的智能追溯系统，高效精准的审计过去、监控现在、防患未来，极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。