來源：https://www.fbcinc.com/e/nlit/presentations/Lin-Applying_User_and_Entity_Behavior_Analytics_fo.pdf

1、內(nèi)部威脅

三類：

心懷惡意的不滿員工

違反可接受的用戶策略的特權用戶

通過網(wǎng)絡釣魚攻擊賬戶

二、用戶實體行為分析

1、360視角的用戶和實體行為

2、通過追蹤用戶和實體的行為，應用算法和靜態(tài)分析檢測有意義的異常

3、使用最小的誤報找到感興趣的異常

4、使用數(shù)據(jù)去生成異常告警、上下文告警、關注已知的威脅場景、提高告警

三、UEBA的數(shù)據(jù)科學

1、行為畫像

基線正常行為

對于偏差的告警

2、估計背景

狀態(tài)警報和允許評分校準

3、有針對性的檢測

使用已知場景檢測威脅

補充現(xiàn)有的基于檢測的產(chǎn)品

4、假陽性控制

刪除或取消警報

自我調(diào)整警報分數(shù)

四、行為分析

沒有簽名，采用統(tǒng)計方法對骨干網(wǎng)異常進行檢測

分類數(shù)據(jù)：國家、設備、應用、進程

數(shù)值數(shù)字：服務器登陸數(shù)量，發(fā)送字節(jié)數(shù)，郵件數(shù)量，會話持續(xù)時間

一周的數(shù)字數(shù)據(jù)：VPN活動數(shù)量，構建訪問活動，文件活動

五、行為剖析-建立直方圖

1、用戶和實體分析

通過網(wǎng)絡上的任何實體，無論是用戶、主機、進程、對等組還是整個組織

2、直方圖調(diào)節(jié)

?檢查收斂性

?噪聲去除

3、異常得分

?基于P‐值的假設檢驗

?基于分布的分數(shù)放大或縮小

4、延時訓練

?如果出現(xiàn)異常，丟棄數(shù)據(jù)

?來自異常事件的非污染

六、異常檢測

（1）定義異常規(guī)則——UEBA的主干

（2）跨越每個已分析的行為維度，定義一個或多個異常規(guī)則。

（3）例:如果用戶的src_country的p值小于0.05，那么就用15來警告

（4）字段數(shù)量:

?400 +直方圖

?600+異常規(guī)則

（5）資產(chǎn)登錄和訪問活動:AD日志

從用戶到資產(chǎn)的第一個或異常訪問

從用戶peer到資產(chǎn)的第一個或異常訪問

從用戶到資產(chǎn)的第一個或異常訪問

登陸資產(chǎn)的異常數(shù)量

（6）防止數(shù)據(jù)丟失活動:打印機日志

從用戶到打印機的第一個或異常訪問

打印的異常頁面的數(shù)量

異常打印時間

（7）物理訪問活動：訪問日志

（8）數(shù)據(jù)庫活動：數(shù)據(jù)庫日志

（9）Web活動：代理日志

七、評分

八、用戶和實體行為分析(UEBA)

簡單為王!

?白盒的方法

?隱藏分析來自用戶的復雜性

?輸出必須輕松簡單

?適應并允許操作的靈活性配置

九、上下文估計用例

需要支持上下文的異常規(guī)則

上下文信息在復雜的IT環(huán)境中并沒有常常給出

十、賬戶分類

十一、對等點分析

確定最佳的對等組來校準用戶的警報

與靜態(tài)AD對等組的挑戰(zhàn)

?許多類型(部門、頭銜)

?重疊組(安全組)

最佳對等組是指從組成員到用戶的行為相似性最高的組

十二、檢測用例

十三、域名生成算法檢測

十四、每日活動變更檢測

為模式或容量變化建立長期行為模型

十五、第一次訪問告警的誤報約減