來源：https://www.esecurityplanet.com/products/top-ueba-vendors.html

想要將高級分析或機器學習能力添加到IT安全庫的組織有一個相對新的選擇:用戶和實體行為分析(user and entity behavior analytics ，UEBA)。

雖然UEBA的解決方案只存在了幾年，但它們很快就在大型企業(yè)中流行起來。據高德納咨詢公司(Gartner)的數據，獨立的UEBA解決方案的銷量每年都在翻番，今年有望達到2億美元。此外，許多供應商正在將UEBA功能并入其他安全工具，如安全信息和事件管理(SIEM)、網絡流量分析、身份和訪問管理(IAM)、端點安全、數據丟失預防或員工監(jiān)視工具。Gartner分析師Avivah Litan預計，在未來5年內，獨立的UEBA產品將會發(fā)展成為下一代SIEM解決方案，而其他UEBA產品將會進入其他安全技術領域。

一、UEBA解決方案如何工作

UEBA解決方案識別典型用戶行為中的模式，然后查明與這些模式不匹配的異常活動，并與安全事故相對應。

例如，假設一家公司有一個名為Bob的開發(fā)人員。每天早晨，鮑勃早上8點左右登錄網絡。，有時來自家里，有時來自辦公室。他首先檢查他的電子郵件和公司的協(xié)作平臺。然后，他每天大部分時間都在他的IDE中編寫代碼，在公司的基于云的開發(fā)和測試環(huán)境中工作，并訪問與開發(fā)相關的網站。他可以訪問許多不同的公司數據庫，這些數據庫是他正在創(chuàng)建的應用程序的一部分。他經常在午餐時工作，但他總是在周四中午休息一小時。他通常會在下午6或7點的時候離開。

之后的一天，鮑勃在一個星期四的中午下班回家，他從家里回來。他沒有檢查他的電子郵件或打開他的IDE，而是直接去了數據庫，里面裝滿了客戶信息，并開始查找特定的名字。他似乎沒有對任何信息進行數字化復制或轉移，但他確實查閱了大約25個人，他們都是財富500強企業(yè)的高管。

這類活動顯然有點可疑。也許鮑勃只是略過了他平常的午餐約會，感覺有點不舒服，需要一些紀律處分?；蛘撸拿艽a已經被破解，黑客們正在尋找可以用來攻擊該公司客戶的網絡釣魚攻擊的數據?；蛘?，一個高級持久的威脅已經付給Bob很多錢，讓他們從公司數據庫獲得一些信息。

這種類型的行為可能不會被其他安全解決方案所發(fā)現(xiàn)，但是UEBA解決方案可以發(fā)現(xiàn)它并在實時或接近實時的情況下標記它，允許安全人員快速地進行調查和響應。

為了描述這種類型的能力，這個行業(yè)似乎圍繞著“用戶和實體行為分析”這個術語，這是高德納公司最喜歡的技術名稱。然而，一些廠商繼續(xù)使用“用戶行為分析”或簡單的“行為分析”。一些供應商說這三種術語的含義略有不同，而另一些則可以互換使用。這個購買指南包括使用所有三個描述符的產品。

一些專家認為，UEBA產品將慢慢被其他類型的產品所吸收，比如SIEM、IAM或端點安全解決方案。高德納(Gartner)的阿維娃·利坦(Avivah Litan)甚至寫道:“到2022年，將不再有UEBA市場?！碑斎?，在這個領域已經有了很多的收購，在未來的5年里，看看這個購買指南中有多少供應商繼續(xù)提供獨立的UEBA產品，這將是很有趣的。

二、UEBA產品的最小特性

UEBA的解決方案應該提供什么?這個購買指南只包括獨立的UEBA產品。它并不全面，但確實包括了目前市場上大多數知名的UEBA產品。

為了納入購買指南，UEBA解決方案必須提供以下功能:

監(jiān)視和分析用戶和其他實體的行為。

檢測可以指示內部攻擊或危害用戶憑證的異常行為

使用高級分析來檢測多種威脅。

提供將可能與單個安全事件相關的多個異常活動關聯(lián)的能力。

提供實時或接近實時的性能。

三、頂級UEBA解決方案

解決方案是按字母順序排列的，還有我們從供應商信息中獲得的特征。在這篇文章的底部是一個圖表，分解了這些產品的一些特性。

3.1? Balabit Blindspotter

Balabit于2000年在布達佩斯成立，總部設在紐約，在布達佩斯、德國、匈牙利、法國、盧森堡、以色列和英國設有辦事處。它從C5資本獲得了800萬美元的資金。它將自己描述為“領先的特權訪問管理提供者(PAM)和日志管理解決方案”。該公司聲稱擁有超過100萬的企業(yè)用戶，其中包括25家財富100強公司的用戶。

附加功能:

自動回復；

與Balabit特權會話管理、SIEMs、日志管理解決方案、LDAP和/或Active Directory集成；

風險評分；

屏幕內容分析；

識別擊鍵和鼠標移動的行為生物識別技術。

市場和用例:企業(yè)安全運營團隊，特別是在金融和電信領域。

交付:本地軟件

定價:可根據要求提供報價。

3.2? Dtex Enterprise

Dtex系統(tǒng)于2000年在澳大利亞推出，現(xiàn)在在圣何塞安家落戶。它已經從Norwest Venture Partners和Wing Venture Capital籌集了1500萬美元的資金。它的UEBA平臺是它的主要產品。

附加功能:

可視化；

指示板；

法庭審計跟蹤；

專家調優(yōu)；

警報審查；

與白金版中可用的第三方解決方案的集成；

市場和用例:企業(yè)安全運營團隊。

交付:本地軟件

端點:無限

吞吐量/帶寬限制:沒有;Dtex收集器每天將大約1-2 MB的用戶發(fā)送到服務器。

定價:Dtex信號產品只提供用戶行為的可見性，每個用戶每月2美元。企業(yè)和白金版本合并分析,可應要求提供報價。

3.3E8 Security Fusion Platform

E8安全系統(tǒng)以一個數學概念命名，于2013年由一個在大數據分析、安全和機器學習方面擁有豐富經驗的團隊創(chuàng)建。它的Fusion UEBA平臺是唯一的產品，它可以檢測內部和外部的威脅。該公司已從阿萊格斯資本、3月資本合作伙伴、戰(zhàn)略網絡風險投資公司和蜂巢籌集了2180萬美元的資金。

附加功能:

與其他安全解決方案集成；

一鍵搜索和篩選；

非監(jiān)督機器學習；

Hadoop-based；

無代理（Agentless）；

市場和用例:企業(yè)安全運營團隊。

交付:本地軟件

定價:可根據要求提供報價。

3.4Exabeam Advanced Analytics

現(xiàn)在，4歲的Exabeam提供了一個SIEM平臺，集成了它的獨立產品，用于日志管理、UEBA、事件響應、查詢和云集成。該公司總部位于加州圣馬特奧市，已獲得6500萬美元的融資，其中包括今年早些時候完成的3000萬美元融資。該公司的主要投資者包括光速創(chuàng)投和思科投資。根據該公司的說法，Exabeam Advanced Analytics是“世界上部署最多的行為分析平臺”。

附加功能:

與其他Exabeam產品和大多數SIEM產品集成；

接受來自數百個不同來源的數據；

專利會話數據模型；

風險評分；

Ransomware檢測和預防；

會話時間線；

預警優(yōu)先化；

市場和用例:任何大型組織。Exabeam為聯(lián)邦政府機構設立了一個特別的咨詢委員會和項目；

交付:物理設備或云準備的虛擬機；

端點:無限；

吞吐量/帶寬限制:沒有;水平擴展；

定價:可根據要求提供報價；

3.5Forcepoint Insider Threat

Forcepoint公司聲稱其用戶行為監(jiān)測技術已經保護了政府和其他組織長達15年之久。它以前被稱為Websense，成立于1994年。在雷聲公司以19億美元的價格收購了該公司之后，它被重新命名為“Forcepoint”，并將其與雷聲公司的網絡產品和Stonesoft組織合并。Forcepoint目前擁有超過2萬名客戶。

附加功能:

分布式體系結構

個人每日綜合風險得分。

風險優(yōu)先級

可定制的策略

可視化

用戶屏幕的視頻回放。

時間線

取證

基于代理的

市場和用例:企業(yè)安全運營團隊。

交付:本地軟件

端點:無限

吞吐量/帶寬限制:沒有

定價:可根據要求提供報價。

3.6Fortscale

Fortscale專門研究用戶行為分析，專門針對針對內部威脅的分析。它提供了兩種產品:SOC的Fortscale UEBA，這是為公司在其安全操作中心部署而設計的，以及Fortscale Presidio，一個UEBA引擎，其他安全廠商可以嵌入到他們的產品中。該公司于2012年在以色列的特拉維夫成立，募集了3900萬美元的資金，其中包括在2017年2月完成的700萬美元的融資。主要投資者包括Blumberg Capital、CME Ventures、Evolution Equity Partners、英特爾Capital和Valor Capital Group。

附加功能:

與DLP和其他安全解決方案的集成；

多元風險評分；

智能警報；

一鍵式調查能力；

警報轉發(fā)；

Hadoop-based；

Darknet分析；

無代理；

市場和用例:安全供應商，各種規(guī)模的組織；

交付:on -premises軟件(只在Linux上運行)或嵌入到其他安全解決方案中；

定價:可根據要求提供報價。

3.7Gurucul Risk Analytics (GRA)

Gurucul提供三種不同類型的安全分析:UEBA、身份分析和云安全分析。都是基于其預測基于身份行為異常引擎(PIBAE)。有關該公司財務狀況的細節(jié)難以獲得，但它是由曾為身份管理供應商Vaau工作過的安全老兵于2009年創(chuàng)建的，該公司是由Sun Microsystems收購的，然后是甲骨文公司(Oracle)。它的總部設在洛杉磯。

附加功能:

大量機器學習算法庫；

模糊基于邏輯鏈接分析；

粒度自適應風險模型；

無簽名的；

模塊化的體系結構；

事務得分；

風險等級的時間線；

混合了UEBA和身份分析的混合行為分析；

Hadoop-based；

市場和用例:企業(yè)安全操作；

交付：設備、虛擬機、云或裸金屬；

定價:可根據要求提供報價。

3.8Haystax Technology Constellation Analytics Platform

總部位于弗吉尼亞州麥克萊恩市的Haystax公司的5000萬用戶中，有許多聯(lián)邦政府機構和金融機構的雇員。據該公司網站介紹，它還“幫助保護了最后7個超級碗”。該公司成立于2012年，募集資金僅400萬美元，但已經完成了三筆收購:2013年4月的數字沙箱，2013年5月的FlexPoint技術，以及2014年8月的NetCentrics公司。

附加功能:

內部可信度的綜合觀點；

貝葉斯分析；

誤報率低；

協(xié)作可視化；

威脅報警；

資產編目；

事件監(jiān)控；

事故報告；

無代理；

市場和用例:聯(lián)邦政府、金融行業(yè)、企業(yè)IT安全、公共安全；

交付:軟件或基于云計算的；

端點:無限；

吞吐量/帶寬限制:沒有；

定價:可根據要求提供報價。

3.9HPE Niara

HPE在2017年2月宣布了收購行為分析公司Niara的計劃。交易條款沒有披露。Niara于2013年在加州森尼維爾成立，在購買之前獲得了2940萬美元的資金。HPE表示，計劃將Niara公司納入Aruba ClearPass網絡安全投資組合。HPE在2015年以30億美元收購了Aruba。

附加功能:

交互式可視化；

從幾乎任何來源獲取數據；

集成取證；

Entity360風險概況；

風險評分；

使長期歷史調查；

與SIEM和其他安全解決方案集成；

無代理；

市場和用例:企業(yè)安全運營團隊；

交付:現(xiàn)場或云軟件或設備;也可作為on-premises Hadoop應用程序可用；

端點:無限；

吞吐量/帶寬限制:沒有；

定價:可根據要求提供報價。

3.10Interset

總部位于加拿大渥太華的Interset之前被稱為FileTrek，提供基于云的軟件，用于分享和跟蹤企業(yè)內容。隨著時間的推移，該公司開發(fā)了大數據分析和安全能力，并在2014年推出了行為分析平臺。今天，該公司只專注于安全分析和UEBA。該公司獲得了1000萬美元的投資資金，同時還獲得了1000萬美元的投資。

附加功能:

可擴展到超過25萬用戶；

被多個美國情報機構使用；

靈活、可擴展的分析引擎；

200多個機器學習模型；

與大多數SIEM系統(tǒng)集成；

Hadoop-based；

可選的代理；

市場和用例:企業(yè)安全運營團隊；

交付:本地或云；

端點:無限；

吞吐量/帶寬限制:沒有(帶寬使用率非常低)；

定價:可以在請求。

3.11微軟高級威脅分析

2014年11月，微軟宣布收購總部位于以色列的安全情報初創(chuàng)公司Aorato。在收購之前，Aorato已經獲得了1100萬美元的股權融資。2015年，微軟向其企業(yè)移動套件添加了高級威脅分析，并將其作為獨立產品提供。有點讓人困惑的是，微軟認為先進的威脅分析是其云平臺的一部分，但該產品只能用于現(xiàn)場部署。

附加功能:

SIEM集成；

攻擊時間線；

移動性支持；

組織安全圖；

電子郵件警報；

深度數據包檢測；

無代理；

市場和用例:小企業(yè)；

交付:本地軟件；

端點:數十萬支持；

吞吐量/帶寬限制:沒有；

定價:在各種許可策略下可獲得的報價和可協(xié)商的報價。獨立許可證的預估價格為每位用戶80美元，每臺操作系統(tǒng)每年為61.50美元。

3.12Palo Alto Networks LightCyber Magna

帕洛阿爾托網絡公司最近收購了LightCyber，目前還不清楚該公司計劃將LightCyber的UEBA解決方案作為獨立產品提供多長時間。最終，LightCyber可能會被合并到Palo Alto的下一代防火墻中。就目前而言，該公司似乎仍在提供其Magna的平臺。在收購之前，LightCyber已經獲得了3,650萬美元的資金。它成立于2011年。

附加功能:

網絡處理(N2PA)技術；

惡意軟件檢測；

Magna云專家系統(tǒng)sandbox檢查系統(tǒng)；

靈活的部署；

高度可操作的警報數量少；

網絡流量分析；

與其他安全工具的集成；

隔離功能；

無代理；

市場和用例:企業(yè)安全運營團隊；

交付:硬件或虛擬設備，on-premises或cloud；

定價:可根據要求提供報價。

3.13Preempt

雖然它成立于2014年，但它在2016年夏天才悄然興起。它將其UEBA產品稱為“行為防火墻”，它還提供了身份驗證解決方案和免費密碼健康檢查器。該公司已籌集了1000萬美元的資金。

附加功能:

自動響應警報

用戶風險評分

多因素身份驗證功能

事件分類和優(yōu)先級

事件響應

取證分析

降低警報

與其他安全解決方案的集成。

市場和用例:企業(yè)安全運營團隊。

交付:本地軟件

定價:可根據要求提供報價。

3.14 RedOwl

RedOwl于2011年在馬里蘭州的巴爾的摩成立，并從投資者那里籌集了2160萬美元。除了幫助識別網絡攻擊之外，RedOwl還聲稱它的UEBA平臺還能檢測到工作場所的暴力和騷擾，識別不需要的知識產權，以及潛在的飛行風險以及確保遵守金融行業(yè)法規(guī)的員工。

附加功能:

從任何來源獲取數據；

可擴展數據模型；

通信分析；

可視化；

基于角色的儀表盤；

自然語言處理；

內容分類；

風險評分；

將數據轉換為描述；

市場和用例:企業(yè)安全運營團隊和監(jiān)視團隊，特別是在金融服務行業(yè)；

交付:On-premises軟件、設備或虛擬私有云；

定價:可根據要求提供報價。

3.15Securonix Bolt

Securonix最近推出的產品——斯諾克安全分析平臺，融合了SIEM、UEBA和欺詐檢測能力。然而，該公司還提供了一個名為Bolt的獨立UEBA解決方案。該公司成立于2008年，在德州的艾迪生設有辦事處;舊金山，新澤西州澤西市，洛杉磯，亞特蘭大，喬治亞州，弗吉尼亞州維也納，英國和印度也有相關辦事處。Securonix表示，世界500強企業(yè)中有三分之一使用其產品。

附加功能:

超過1000個單擊部署威脅模型；

350個連接器；

可視化；

調查和應對能力；

欺詐報告；

貿易監(jiān)測；

患者數據分析；

威脅模型交換庫；

預測和自適應學習；

與SNYPR安全分析平臺集成；

無代理；

市場和用例:企業(yè)安全運營團隊，特別是大型企業(yè)；

交付:On-premises軟件或基于云的；

定價:可根據要求提供報價。

3.16Splunk用戶行為分析

盡管Splunk以其日志監(jiān)控和分析解決方案而聞名，但它也提供了基于hadoop的UBA解決方案。該公司成立于2003年，是為了支持開源Splunk軟件，現(xiàn)在該公司聲稱擁有超過13000名客戶，其中包括《財富》100強中的85家。該公司在納斯達克(NASDAQ)的標志“SPLK”(SPLK)下公開交易，2016年的收入為9.5億美元。Splunk公司擁有2700多名員工，總部位于舊金山。

附加功能:

安全指示板；

Hadoop-based；

多維行為基線；

與Splunk企業(yè)和Splunk企業(yè)安全集成；

異常的探索；

無代理；

市場和用例:企業(yè)安全運營團隊；

交付:On-premises軟件或AWS服務；

端點:單個節(jié)點上的500,000個端點(附加節(jié)點的附加擴展)；

吞吐量/帶寬限制:沒有；

定價:可根據要求提供報價。

3.17Varonis DatAlert

Varonis創(chuàng)建于2005年，提供各種數據管理、治理和安全產品，包括UBA提供的DatAlert。它的重點主要是保護公司免受內部威脅。在初創(chuàng)公司的日子里，Varonis在2014年上市之前從股票公司籌集了2879萬美元。它的股票現(xiàn)在在納斯達克市場以VRNS的名義交易。2016年，該公司的收入為1.645億美元。公司總部設在紐約。

附加功能:

預測威脅模型；

安全時間機器；

與其他安全解決方案的集成；

基于web的儀表盤；

預警得分和優(yōu)先級；

自定義警報條件；

為某些平臺代理，為其他平臺代理；

市場和用例:企業(yè)安全運營團隊；

交付:本地軟件；

端點:不適用;UEBA發(fā)生在服務器上，而不是端點；

吞吐量/帶寬限制:沒有；

定價:可根據要求提供報價。

3.18Veriato Recon

總部位于佛羅里達州棕櫚灘花園。Veriato專注于員工監(jiān)控解決方案，包括Recon，它的UEBA產品。該公司成立于1998年，原名Spectorsoft。該公司在100多個國家擁有超過5萬名客戶。

附加功能:

簡單的調優(yōu)；

行為組；

報警；

與SIEM和其他安全解決方案集成；

心理語言學分析；

屏幕快照；

擊鍵記錄；

基于代理的；

市場和用例:企業(yè)安全運營團隊和人力資源部門；

交付:本地軟件；

端點:20萬的單個實例；

吞吐量/帶寬限制:沒有；

定價:可根據要求提供報價。

3.19ZoneFox

ZoneFox成立于2012年，是一家位于蘇格蘭愛丁堡的小型初創(chuàng)公司。2015年，該公司獲得了650,000英鎊的融資，而且是英國代碼庫技術孵化器的一部分。2016年末，該公司宣布計劃將員工人數增加三倍，希望在2017年底前雇傭30人。

附加功能:

詳細的取證；

可視化；

指示板；

聯(lián)邦安全；

網絡監(jiān)控；

增強情報；

基于代理的；

市場和用例:企業(yè)安全運營團隊，特別是銀行、制造商和游戲開發(fā)商；

交付:On-premises軟件或基于云的；

定價:可根據要求提供報價。

四、 UEBA產品特性比較

下面是比較19個UEBA供應商解決方案的圖表: