- 综合排序
- 最热优先
- 最新优先
- 来自专栏日志易的专栏
如何深度实现用户与实体行为分析(UEBA)
UEBA,User and Entity Behavior Analytics,即用户与实体行为分析,主要是以用户和实体为对象,结合规则以及机器学习模型,对用户行为进行分析和异常检测,尽可能快速地感知内部用户的可疑非法行为 相对于传统安全设备分析外部威胁事件的优势,UEBA则对企业内部威胁的分析场景更有优势,UEBA更侧重于关注用户的行为,并从另一视角去发现问题。 UEBA可以通过对数据防泄露系统、邮件、U盘、终端管理、打印机等日志进行关联分析,从而发现可疑下载及外发文件等异常操作。 UEBA可以帮助企业针对门禁、终端管理、邮件、审计等日志进行分析,对特定行为进行监控,及时发现违规操作。 丰富的规则模型 内置100+UEBA规则模型,涉及VPN、邮件、数据防泄露系统、终端管理、上网行为等多种数据源,根据企业需要,对异常登录、数据泄漏、怠工分析、离职倾向、违规操作等多种场景进行分析。
2.2K10发布于 2021-09-08 - 来自专栏腾讯云安全的专栏
腾讯安全中心集成UEBA能力解决内部安全威胁
为帮助企业更好的应对内部威胁,腾讯安全运营中心(SOC)推出了UEBA分析能力,以帮助客户高效、准确、及时的检测风险,从而提升自身安全防护能力,有效降低内部威胁影响。 而UEBA (User and Entity Behavior Analytics,用户实体行为分析)作为目前异常发现的重要分析技术日益受到关注。 2、以软关联、数据驱动的方式处理海量、高误报告警 腾讯安全UEBA着重针对用户和实体进行评分,并构建起一套由软关联、数据驱动搭建的评分框架。 腾讯UEBA可以记录、分析此类帐号异常情况,并根据该帐号的可疑行为进行分析并及时告警。 在可以预见的将来,UEBA必将成为企业网络安全防护的核心技术,在降低内部安全威胁风险等方面发挥重要作用。
3.6K40发布于 2021-08-17 - 来自专栏日志易的专栏
日志易UEBA|基于MITRE ATT&CK实现横向移动阶段失陷账户检测
1.2 对用户行为进行分析,是一种有效的手段 Gartner提出的用户实体行为分析(UEBA,User Entity Behavior Analyltics)技术,就是应对日益增长的内部威胁的利器。 数据源:Windows日志 规则配置: 11.jpg 03丨通过账户活动日志对用户行为进行分析的方法 UEBA以用户视角建立行为基线,刻画用户画像,通过关联分析、对比分析,查找内部可疑的帐户行为,以此来发现威胁 数据源:没有VPN访问权限的用户、实时打卡日志、Windows日志 规则配置: 17.jpg 04丨通过UEBA实现的效果 在UEBA平台可查看告警详情,如有需要可进一步联动第三方系统进行处置。
1.7K10发布于 2021-09-13 - 来自专栏腾讯安全
腾讯安全运营中心集成UEBA能力,助力企业保障内部网络安全
UEBA (User and Entity Behavior Analytics,用户实体行为分析)作为目前异常发现的重要分析技术日益受到关注。 而UEBA能力作为腾讯安全运营中心(SOC)的关键子系统,通过自建规则分析引擎、画像检测引擎、机器学习检测引擎,对全网海量安全告警数据进行快速分析。 在UEBA能力的支持下,腾讯安全运营中心(SOC)识别发现内部网络安全威胁、增强网络安全事件可见程度、降低网络安全团队管理成本等方面等能力大大加强。 不仅如此,UEBA能力还可以帮助安全运维人员从海量日志中抽丝剥茧,高效处理海量告警,进行更细粒度的威胁检测,从而降低管理难度,提高告警准确率,有效降低网络安全团队管理成本。 在可以预见的将来,UEBA必将成为企业网络安全防护的核心技术,在降低内部安全威胁风险等方面发挥重要作用。
3K10发布于 2021-08-17 - 来自专栏李珣
Microsoft Sentinel (二)实体行为分析配置
UEBA对企业内部威胁的分析场景更有优势,更侧重于关注用户的行为,可以从另一视角去发现问题。 通常UEBA会与SIEM联动,针对外部数据和内部数据进行统一侦察分析,实现系统的多维度异常检测,对于将会产生的威胁进行及时告警,规避风险。 UEBA体系架构 在Microsoft Sentinel威胁事件调查环节,我们也可以利用UEBA来针对异常进行分析,得到更准确的安全事件结论。 要使用UEBA调查,首先需要在Sentinel中开启UEBA的支持: 1 进入Sentinel,依次打开威胁管理->实体行为->实体行为设置。 2 在设置界面中,进入“配置UEBA” 3 启用UEBA功能,并选择数据源 4 进入实体分析页面,找到威胁最多的一台VM,查看该VM详情 5
58920编辑于 2022-05-07 从 Kafka 到 UEBA:构建下一代T+0态势感知的技术栈与代码实现,舆情系统中的应用
从 Kafka 到 UEBA:构建下一代T+0态势感知的技术栈与代码实现作为开发者和架构师,我们最烦的就是“安全月报”。为什么?因为它代表着**“滞后”**。 日志处理采用实时流计算框架(如Flink),UEBA模型库最全,SOAR剧本成熟度高。适合追求“一步到位”的成熟型企业。 UEBA(用户和实体行为分析)的出现,就是为了解决**“未知威胁”**。UEBA的核心不是什么神秘算法,而是成熟的机器学习异常检测模型。 UEBA: 立即告警。因为他的行为**“异常”**。UEBA如何实现?以上文中腾讯安全擅长的“账号盗用”检测为例,它们通常使用**“孤立森林”(Isolation Forest)**算法。 场景: UEBA检测到异常下载(如上文behavior_b),触发高危警报。
33310编辑于 2025-11-18- 来自专栏FreeBuf
Gartner:2018年10大安全项目详解
根据Gartner的观察,目前UEBA市场已经出现了明显的分化。一方面仅存在少量的纯UEBA厂商,另一方面多种传统细分市场的产品开始将UEBA功能融入其中。 这其中最典型的就是SIEM厂商,已经将UEBA技术作为了SIEM的核心引擎。Gartner在给客户的建议中明确提到“在选购SIEM的时候,要求厂商提供UEBA功能”。 此外,包括EDR/EPP和CASB厂商也都纷纷在其产品中加入了UEBA功能。 由于不断的并购和其它细分市场产品的蚕食,纯UEBA厂商越来越少。 我的观点,未来纯UEBA厂商将越来越少,要么被并购,要么转变到其它更大的细分市场。同时SIEM厂商将会大举投入UEBA技术,不论是买,还是OEM,抑或自研。 未来,UEBA更多是一种技术,一种能力,被广泛集成到多种安全产品之中,最关键就是UEBA引擎。但只要UEBA厂商还能够开发出具有独立存在价值的客户应用场景,就不会消失。
1.7K20发布于 2018-12-11 - 来自专栏IT派
深度学习在安全方面的影响日益增长
5.用户和实体行为分析: 用户和实体行为分析(UEBA)侧重于分析连接组织网络的人以及服务器,帐户,笔记本电脑等实体的行为。 UEBA用于外部违规检测以及识别流氓内部人员(它是通过分析什么是正常行为,例如,用户通常登录的位置以及他们访问的应用程序来识别的)。 深度学习减少了UEBA所需的特征工程,而神经网络可以学习那些可能会指示恶意会话的用户行为模式。 ? 6.帐户泄露检测: 像UEBA一样,安全工程师和研究人员开始注意到根据个人用户行为训练循环神经网络的能力。如果该用户的行为与模型充分偏离,则可能表示该帐户已被泄密。 然而,深度学习存在一些问题。
84180发布于 2018-03-29 - 来自专栏公共互联网反网络钓鱼(APCN)
星巴克数据泄露事件折射的企业内部威胁与凭证管理失效研究
4.2 用户实体行为分析(UEBA)的应用为了检测“低慢小”的内部威胁,引入用户实体行为分析(UEBA)技术至关重要。 UEBA利用机器学习算法,为每个用户和实体建立正常的行为基线,并实时监测偏离基线的异常行为。 在星巴克案例中,如果部署了UEBA系统,以下行为可能会被标记为高风险:异常时间访问:某员工账号在非工作时间(如凌晨3点)频繁访问HR数据库。 通过关联分析这些微弱信号,UEBA能够在攻击者造成实质性损害前发出预警。 该示例模拟了UEBA的核心逻辑,通过分析访问日志来识别潜在的内部威胁。
23910编辑于 2026-03-17 - 来自专栏公共互联网反网络钓鱼(APCN)
教育机构内部账户失陷引发的钓鱼邮件传播机制与防御
本章节提出一种融合用户实体行为分析(UEBA)、动态风险评估及交互式验证的主动防御模型。 4.1 用户实体行为分析(UEBA)的核心作用UEBA技术通过机器学习算法,建立每个用户和实体的正常行为基线,并实时监测偏离基线的异常行为。 在彭德县学校的场景中,UEBA可以发挥关键作用:登录行为分析:监测登录时间、地点、设备及频率。 如果一个平时每天发送5-10封邮件的用户,突然在短时间内向全校 staff 发送了数十封带有链接的邮件,UEBA引擎应能迅速识别这一异常爆发模式。 5 异常行为检测算法的实现与代码示例为了将上述防御理念转化为可落地的技术方案,以下展示一个基于Python的简化版UEBA检测算法原型。
18710编辑于 2026-03-08 - 来自专栏网络安全随笔
安全圈术语全景图
UEBA 为SIEM 数据添加了背景信息和分析,并为实体组织的事件提供风险评分,使分析师能够确定最高风险的优先级。随着技术的发展,UEBA又作为子集融合进了态势感知产品。 UEBA(User and Entity Behavior Analytics,用户和实体行为分析)从UEBA的概念可以看出,UEBA技术不仅检测人的异常行为,也检测实体的异常行为,我们先通过2个例子来直观地感受一下 UEBA的功能。 UEBA利用人工智能和机器学习算法来检测网络中的用户和实体的异常行为。首先,UEBA收集有关用户和实体活动的数据,通过分析数据来建立用户和实体的行为模式基线。 然后,UEBA会持续监控用户和实体行为,并将其当前行为与基线行为进行比较,计算风险评分,确定行为偏差是否可接受。如果风险评分超过一定的阈值,UEBA会实时向用户发出告警。
90310编辑于 2024-03-20 应对 AI Agent 越权与供应链风险:基于腾讯 iOA 的全链路终端护航实践
事后溯源(UEBA 行为画像): 突破传统 DLP 的局限,引入 DLP + UEBA 一体化安全体系。 深度的行为分析能力: 面对形态多变、请求合法的 Agent 自动化操作,系统不仅停留在特征匹配,而是利用 UEBA 技术补足了自动化环境下的行为研判短板,确保了对未知逻辑漏洞和隐蔽恶意意图的精准拦截。
20610编辑于 2026-04-09- 来自专栏公共互联网反网络钓鱼(APCN)
零售巨头Loblaw数据泄露事件中的PII暴露风险与防御架构重构
传统的入侵检测系统(IDS)往往关注恶意流量特征,而对于使用合法凭证进行的正常数据库查询行为,若无细致的用户实体行为分析(UEBA),很难识别出异常。3. 4.3 强化用户实体行为分析(UEBA)针对利用合法凭证进行的静默窃取,传统的规则引擎往往无能为力。引入基于机器学习的用户实体行为分析(UEBA)系统至关重要。 UEBA系统能够建立每个用户和实体的正常行为基线,并实时检测偏离基线的异常行为。 在Loblaw事件中,若部署了高效的UEBA系统,攻击者的大规模数据导出行为很可能在早期阶段就被识别并遏制。 从实施零信任架构、深化数据加密,到部署UEBA系统及加强行业协同,企业必须构建多层次、动态适应的防御体系。
20110编辑于 2026-03-18 - 来自专栏FreeBuf
浅谈威胁狩猎(Threat Hunting)
自动化/机器辅助-分析师使用利用“机器学习”和“ UEBA”功能的软件来告知分析师潜在风险。 它有助于提供预测性和规范性分析。 威胁情报源增加了分析。 二、如何进行猎捕? 用来进行风险评分的机器学习和UEBA也可以用作狩猎假设。大多数网络分析平台都利用此UEBA,ML功能来识别异常。
3.5K20发布于 2019-11-28 - 来自专栏企鹅号快讯
2017企业安全技术热词有哪些?
UEBA UEBA 将用户活动和其他部分,比如受管理终端,非受管理终端,应用(包括云端,移动端和其他的本地应用程序),网络和内部威胁。 对比UEA,UEBA不仅可以防范内部的威胁,还可以防范外部的威胁,从而保护数据。 SDS Software Defined Storage,软件定义存储。
1.4K100发布于 2018-01-17 流量威胁检测产品怎么选?这四家主流厂商实力大PK
全流量分析/ATT&CK覆盖率达98% 云环境/混合云 按需付费(5万起) 奇安信 天眼新一代威胁检测 威胁狩猎引擎/UEBA 高级威胁检测能力 腾讯云独创"协议解析+动态沙箱+AI模型"三重检测机制,对APT攻击检出率达99.2% 华为依赖单一沙箱检测,对加密流量处理存在30%漏检率(行业评测数据) 奇安信UEBA分析需手动配置阈值
24010编辑于 2026-02-25- 来自专栏FreeBuf
拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上
里有详细介绍,这里就简单罗列一下“一句话安全”架构涉及的安全产品:员工安全产品、终端安全产品(加密、桌管、轻量沙箱、杀毒)、认证中心、授权中心、安全网关/应用门户、安全ERP(作业中心、预警中心、UEBA 但是这些安全产品,以及被重点保护的资产和数据本身还是有安全漏洞,使用过程还会存在安全风险,这些就要通过事中监控、事后追溯去解决,比如UEBA、SOAR、预警中心等。 业务在企业永远是第一位的,安全要服务于业务,安全负责人一定要与公司领导沟通达成一致;其次,不管采用应用门户,还是网关模式的零信任,企业都需要有相应的安全产品,比如提升员工安全素养的产品、终端安全产品、认证系统、UEBA 第二,零信任架构下,有些安全产品将会成为甲方企业的硬需求,比如终端安全(轻量级的电脑沙箱)、安全网关、UEBA(含用户行为、资产行为)、SOAR、安全ERP等。
48710编辑于 2023-03-30 - 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼即服务(PhaaS)产业化趋势与企业纵深防御体系研究
文中提供钓鱼邮件检测、恶意 URL 识别、抗钓鱼 MFA 配置、UEBA 异常检测、SOAR 自动化响应等可工程化代码示例,为企业抵御 PhaaS 规模化攻击提供技术路径与实践方案。 未检测到恶意行为" except: browser.close() return True, "页面访问异常,高风险"5.5 用户实体行为分析(UEBA )与异常检测基于 UEBA 建立用户行为基线,识别异常登录、异常邮件规则、异常数据访问、不可能旅行等攻击特征。 代码示例:UEBA 异常会话检测规则(类 Spl)sqlindex=azure_ad_signin| stats earliest(_time) as first_time, latest(_time) 企业必须从边界防护转向身份驱动、行为检测、自动化响应、全员参与的纵深防御架构,通过部署抗钓鱼认证、强化邮件网关、构建 UEBA 异常检测、落地 SOAR 自动化、培育安全文化,形成闭环防御能力。
11110编辑于 2026-04-01 - 来自专栏安恒信息
动态 | 大数据的黄金时代,那些还需要解决的问题
AILPHA用户行为分析(UEBA)系统 UEBA基于海量的数据,对用户进行分析,建模和学习,从而构建出用户在不同场景中的正常状态并形成基线。
76480发布于 2018-04-11 数据仓库安全审计全解析:哪些产品支持操作审计与独立审计员管理?
独立审计员管理支持 合规认证支持 腾讯云数据仓库 TCHouse系列 内置数据库审计日志;支持与数据安全审计(DSAudit)服务无缝集成,实现全量SQL操作记录、实时风险监控(内置超700条风险规则)、基于UEBA 智能风险分析:审计服务不仅记录日志,更内置基于UEBA(用户实体行为分析)的智能引擎,能自动学习用户正常行为基线,实时识别如异常时间登录、敏感数据批量下载等风险行为,并即时告警。
15010编辑于 2026-04-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号