Skip to content

zrf-rocket/openUEBA

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

2 Commits
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

网络安全用户实体行为分析系统(UEBA)

关于我们

我们的技术文章和产品概述欢迎浏览我们的门户。

  • 公众号:CTO Plus

最新的动态欢迎关注我们官方唯一公众号。

微信公众号

  • 作者QQ

更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。

我的QQ

  • QQ群

我们官方组建的QQ群,如果您有兴趣也可以加入我们。

QQ群

  • 请喝咖啡

如果感兴趣,也可以请我喝杯咖啡

请我喝咖啡

产品核心功能模块

传统基于规则和签名的安全防御体系正面临前所未有的挑战——攻击者可以伪装成合法用户,内部人员的异常行为嵌入海量正常操作中难以辨识。我们自研的用户与实体行为分析系统(UEBA)通过机器学习、统计建模和行为基线技术,将对“身份”的信任从静态授权升级为动态评估,实现了从“被动防御”向“主动预测”的范式转移。

这里我将为大家分享下我们自研的用户与实体行为分析系统(UEBA)的核心功能架构与技术特性,涵盖数据采集层、分析引擎层、风险处置层与可视化运营层四个维度,并探讨UEBA与SIEM、PAM、ZTNA等安全组件的协同关系,最后结合技术特性介绍下UEBA选型与部署的关键考量框架,为安全决策者提供系统性参考。

有需求和问题欢迎联系我们咨询。


一、背景

Verizon《数据泄露调查报告》指出,约34%的数据泄露涉及企业内部人员;Ponemon研究所的研究则显示,2021年全球60%的企业面临超过20次内部攻击,较2018年增长53%。更值得警惕的是,95%的安全事件仍由人为错误、凭证滥用和内部威胁引发。

传统安全工具的局限在于其“默认信任”模式——一旦用户通过身份认证,其后续行为便被视为合法。这种静态的、基于边界的防御思路,在云化、移动化、零信任架构普及的当下已显捉襟见肘。攻击者只需窃取一组合法凭证,便能绕过层层防火墙,以“合法身份”在系统内横向移动、窃取数据,而传统SIEM的关联规则和基于签名的检测手段对这种“合法身份的非法行为”几乎无能为力。

我们为了解决这一问题,自研了UEBA系统。2014年,Gartner首次发布UBA(用户行为分析)市场指南,次年将“实体”概念纳入,形成UEBA这一独立安全品类。其核心逻辑从“这个用户是谁”转向“这个行为像不像他”——通过持续学习每个用户、设备、应用的行为模式,建立动态基线,实时检测偏离基线的异常活动,从而在损害发生前发出预警。


二、UEBA的体系架构:四个层次与一个闭环

我们的UEBA系统,遵循“数据采集→分析建模→风险处置→可视化运营”的四层架构,并形成“检测→响应→学习→优化”的持续闭环。

2.1 数据采集层:全域行为数据的汇聚与标准化

我们的企业级UEBA系统的分析质量高度依赖数据源的广度与质量。支持多源异构数据的接入,包括:

  • 身份认证日志:AD/LDAP、SSO、IAM系统的登录/登出、认证成功/失败记录
  • 网络流量数据:通过旁路镜像或NetFlow获取的东西向、南北向流量元数据
  • 终端行为数据:EDR/EPP采集的进程启动、文件操作、外设接入等端点行为
  • 应用与业务日志:VPN、堡垒机、邮件系统、ERP/CRM等核心应用的操作日志
  • 数据访问审计:数据库审计系统、文件服务器的读写/下载/外发记录
  • HR与上下文数据:员工部门、职级、入职/离职状态、组织架构等

数据采集层的关键能力在于“归一化”——将不同格式、不同语义的日志统一为标准化行为事件(如“用户在何时、从何地、通过何设备、访问了何资源、执行了何操作”)。同时,我们的UEBA系统支持与用户身份主数据系统的实时同步,确保行为事件能够准确映射到具体的“人”和“实体”之上。

2.2 分析引擎层:从规则到算法的智能跃迁

分析引擎是UEBA的“大脑”,其能力层级直接决定了产品的检测效果。我们的UEBA系统融合三类分析方法:

方法类型 典型技术 适用场景
统计学习 标准差分析、时间序列建模、分位数回归 建立行为频次/时间/地域的统计基线,检测显著偏离
有监督机器学习 随机森林、XGBoost、深度学习分类器 基于标注样本识别已知攻击模式(如撞库、数据渗出)
无监督机器学习 聚类、孤立森林、自编码器 发现未知威胁、零日攻击、隐蔽的低速异常

区别于传统SIEM的静态规则,UEBA的分析引擎具备“自适应”能力——它持续学习用户的历史行为模式,也参考同部门、同角色的“对等群体”行为特征,从而区分“个人习惯”与“真实异常”。例如,某高管频繁深夜登录可能是其工作习惯,但若其首次从不常使用的国家发起连接,系统仍会标记为高风险。

2.3 风险处置层:从告警到行动的决策中枢

检测到异常只是第一步,UEBA的价值最终体现在“可行动的智能”。风险处置层承担三项核心职责:

  • 风险评分与聚合:将多个异常信号加权汇总为0-100的实体风险评分,避免告警碎片化。例如,将用户的多维度行为偏差融合为单一风险分,强调跨实体关联以发现横向移动等复杂攻击模式。
  • 优先级排序:根据资产敏感度、用户权限级别、行为偏离程度、威胁情报匹配度,动态调整告警优先级,确保SOC团队优先处置真正高危的事件。
  • 响应策略编排:联动IAM、PAM、EDR等执行系统,实施分级响应——从增强审计、二次认证(MFA挑战)到会话阻断、账号冻结。高端产品支持“自适应响应”,根据风险等级动态调整处置力度。

2.4 可视化与运营层:从数据到洞察的最后一步

我们的UEBA系统的运营界面兼顾“宏观态势感知”与“微观行为追溯”:

  • 实体全景画像:以用户/设备为中心聚合所有历史行为,呈现静态属性(部门、职级、权限)与动态行为(登录模式、访问习惯、风险记录)的融合视图。
  • 行为时间线:以时间轴形式还原用户完整操作序列,支持从登录、命令执行到数据外发的全链路溯源。
  • 风险热力图与仪表盘:从组织、部门、应用、地域等多维度展示风险分布,支持钻取分析。
  • AI辅助调查:部分前沿产品(如派拉UARM-Agent)引入大语言模型,自动生成人类可读的事件调查报告与证据链,将分析师从繁琐的日志解读中解放。

三、UEBA核心功能模块

系统部分功能模块如下

  • 仪表盘 - 实时监控系统整体安全态势

    • 关键指标卡片(高风险用户、异常行为数等)
    • 风险评分趋势图
    • 用户风险分布图
    • 实时异常事件列表
    • 最新告警展示
  • 用户行为分析 - 深度用户行为监控

    • 实时活动流监控
    • 用户活动轨迹追踪
    • 对等组行为分析
    • 用户画像和行为基线
  • 异常检测 - 智能异常识别

    • 异常事件列表与过滤
    • 风险评分系统
    • 行为模式分析
    • 异常等级分类
  • 威胁狩猎 - 主动威胁发现

    • 威胁指标(IOC)匹配
    • 攻击活动追踪
    • 威胁情报集成
  • 调查中心 - 事件调查分析

    • 事件详情查看
    • 时间线分析
    • 关联事件挖掘

在四层架构框架下,我们的UEBA系统的核心功能为以下六大能力模块。

3.1 行为基线建模:从“静态快照”到“动态剖面”

行为基线是UEBA区别于传统检测技术的根本特征。其建模过程包含三个维度:

个体基线:针对每个用户/实体,学习其日常行为的“正常区间”。例如,某员工通常在工作日9:00-18:00登录、日均访问OA系统3-5次、下载文件量约10MB/天。系统持续更新这一基线,当某日该员工凌晨2点登录并批量下载2GB文件时,偏差度显著触发告警。

群体基线(对等组分析):将用户按部门、角色、职级聚类,建立群体行为参考系。例如,所有财务人员均在每月25-30日集中访问报表系统,若某财务人员在月中频繁导出全量数据,即使未突破个人历史基线,对照群体行为也构成异常。Microsoft Sentinel的UEBA模块使用TF-IDF算法计算对等用户排名,支持分析师快速定位“与同类人行为不同”的个体。

实体关联基线:突破单一实体视角,学习“用户-设备-应用”之间的关联模式。例如,某用户惯常使用公司配发的MacBook通过VPN访问GitLab,若某日突然使用个人Windows设备从公网直接登录,系统判定为风险行为。

基线建模的技术难点在于平衡“灵敏度”与“误报率”——模型需区分真正的恶意行为与因业务变更(如岗位调整、项目上线)导致的合法行为变化。成熟产品通常引入“基线衰减因子”或“季节性调整”机制,使模型能够适应组织行为的自然演进。

3.2 异常检测模型库:覆盖ATT&CK的威胁发现矩阵

我们的UEBA系统内置丰富的检测模型库,覆盖账号安全、数据安全、主机安全、内部威胁等多个场景。这些模型通常与MITRE ATT&CK框架对齐,将行为偏差映射到具体的战术与技术(如T1078“有效账户”、T1110“暴力破解”、T1556“修改认证过程”)。

典型检测场景示例

场景类别 检测模型 行为特征 ATT&CK映射
账号接管 不可能旅行 同一用户在极短时间内从地理距离遥远的两个地点登录 T1078
权限提升 异常权限使用 用户首次执行与其角色不符的高权限操作 T1548
横向移动 跳板机异常串联 用户通过非惯用路径访问多台主机,形成异常访问链 T1021
数据渗出 低速数据泄露 长时间、低流量的数据外传,规避传统DLP阈值 T1048
内部威胁 离职前异常行为 临近离职员工大量访问/下载非本职范围的敏感数据 T1530

支持“自定义机器学习检测框架”,允许用户通过拖拽式界面构建场景化模型,无需编写代码即可完成特征提取、算法选择、阈值调优与部署上线,大幅降低检测模型的维护门槛。

3.3 风险评分与聚合引擎:从“告警洪流”到“可行动的风险”

告警疲劳是SOC运营的头号痛点。UEBA通过多层次评分机制将海量异常事件压缩为可管理的风险视图:

事件级评分:针对单次行为异常(如一次异常登录),系统综合考量行为罕见度(相比个人基线)、资产敏感度(目标系统的关键性)、上下文合理性(时间、地点、频次)等因素,给出0-10或0-100的事件风险分。

实体风险聚合:将同一用户/实体在时间窗口内的所有异常事件加权聚合,生成综合风险评分。聚合算法需考虑事件间的关联性——例如,一次异常登录+首次批量下载+压缩打包操作,三者叠加的威胁权重远高于孤立事件之和。

动态阈值调整:静态评分阈值难以适应企业环境的动态变化。成熟UEBA引入自适应阈值机制——当某一类异常在组织中普遍出现时(如全员因系统升级而集中夜间登录),系统自动降低此类事件的权重,避免“狼来了”效应。

系统输出的0-100精准风险评分,结合动态决策树联动IAM执行分级响应:低风险放行、中风险增强监控、高风险触发MFA挑战、严重风险实时阻断,形成“评分→决策→行动”的完整闭环。

3.4 全链路行为溯源与证据链构建

发现风险后,分析师需要回答三个问题:发生了什么?怎么发生的?影响范围多大?UEBA的行为溯源能力应支持:

  • 行为时间线重建:将分散在各系统的日志按时间序串联,还原攻击者的完整行动轨迹。例如:VPN登录→AD认证→堡垒机跳转→数据库查询→文件下载→压缩→邮件外发。
  • 攻击链可视化:以杀伤链模型(Reconnaissance→Initial Access→Execution→Persistence→Lateral Movement→Exfiltration)映射行为序列,清晰呈现攻击所处的阶段。
  • 证据保全:原始日志、会话录像、命令行记录等证据材料与告警关联存储,支持一键导出用于内部审计或司法举证。

系统强调“辅助取证”能力,围绕账号、设备、应用、文件构建多维度行为画像,为内部威胁的定性提供结构化证据支撑。

3.5 自适应响应与生态联动

我们的UEBA系统不是孤立的分析工具,而成为安全编排与自动化响应(SOAR)生态的“感知中枢”。其联动能力体现在:

  • 与IAM/PAM联动:当检测到账号异常时,实时调用IAM接口强制下线、要求重置密码或触发MFA;对特权账号的异常操作,联动PAM暂停会话或降级权限。
  • 与EDR/NDR联动:将用户行为风险作为主机/网络检测的上下文——例如,当某用户被UEBA标记为高风险时,EDR对该用户发起的所有进程执行深度监控,NDR对其网络流量启用全包捕获。
  • 与SIEM/SOAR联动:UEBA产生的风险事件作为高质量告警源输入SIEM,触发SOAR剧本执行自动化调查(如查询威胁情报、扫描关联主机)。

我们的UEBA系统通过与Enterprise Security的原生集成,将行为洞察与SIEM关联规则统一展示,使分析师在同一控制台完成检测、调查与响应。以及支持将告警自动合并为事件,在一个视图下集中呈现所有关联告警与处置建议。

3.6 运营可视化与AI辅助决策

降低UEBA的使用门槛是产品成熟度的重要标志。我们的UEBA系统在运营层面提供:

  • 角色化仪表盘:为CISO提供组织整体风险态势与趋势分析;为安全分析师提供待处置告警队列与调查工作台;为审计人员提供合规报表与行为审计追踪。
  • 自然语言交互:前沿产品集成LLM能力,支持分析师以自然语言查询行为数据(如“显示过去24小时内首次从境外登录的财务部员工”),系统自动生成查询语句并返回可视化结果。
  • AI生成调查报告:针对高危事件,系统自动聚合相关行为上下文、风险评分依据、历史同类事件对比、响应建议,生成结构化的调查报告草稿,分析师仅需审核补充即可输出。

四、UEBA与周边安全组件的协同生态

我们的UEBA系统可以与现有安全架构进行深度融合。

4.1 UEBA与SIEM:能力互补而非替代

这是最常见的问题:有了SIEM还需要UEBA吗?答案是二者互补。

  • SIEM的优势在于日志聚合、合规报表、基于规则的实时关联。它擅长回答“已知的坏是什么”。
  • UEBA的优势在于行为基线、异常检测、风险评分。它擅长回答“未知的异常是什么”。

实践中,SIEM为UEBA提供标准化的数据输入,UEBA为SIEM提供高质量的异常告警和行为上下文。实际上,我们的SIEM已内置UEBA模块,独立的UEBA产品则增强数据管理和可操作性以趋近SIEM。企业在选型时可根据现有SIEM的能力缺口决定:是采购独立的专业UEBA产品,还是启用现有SIEM平台的UEBA附加模块。

同样的,类似我们自研的EDR系统内嵌了威胁狩猎模块。

4.2 UEBA与零信任架构:行为是动态访问控制的依据

零信任的核心原则是“永不信任,始终验证”。我们的UEBA系统为这一原则提供了“验证”的依据——访问决策不再仅依赖静态的身份和权限,而是融入动态的行为风险评分。

例如,某员工即使拥有财务系统的访问权限,但当UEBA检测到其行为偏离基线(如首次从异常地点登录、操作频率超常),零信任策略引擎可实时要求二次认证或限制其可访问的数据范围。这种“基于行为风险的动态访问控制”是零信任架构从1.0迈向2.0的关键特征。

4.3 UEBA与DLP:从“内容检测”到“行为意图分析”

传统DLP依赖关键词、正则表达式、指纹识别等内容级检测,容易被加密、压缩、分段传输绕过。我们的UEBA系统从行为意图视角弥补这一盲区——即使数据内容未被DLP识别,用户表现出的“异常搜集→打包→外传”行为序列本身即构成高风险信号。

UEBA与DLP的联动模式:DLP检测到敏感内容外发时,UEBA提供该用户近期的行为上下文(是否刚批量下载、是否临近离职),辅助判定是蓄意泄露还是正常工作需要;反之,UEBA发现数据渗出行为模式时,可触发DLP对该会话实施阻断或审计增强。


五、非功能性特性

5.1 数据源兼容性与集成成本

UEBA的分析质量高度依赖数据广度。产品对现有日志源的“开箱即用”支持程度——预置主流AD、VPN、云办公套件(如M365、Google Workspace)、堡垒机、数据库审计系统的解析器。对于自定义应用,提供灵活的日志接入方式(Syslog、API、Kafka)。集成成本往往占UEBA部署总成本的30%-50%,不可低估。

5.2 检测模型的成熟度与可解释性

UEBA提供模型的可解释性——当系统判定某行为异常时,能清晰展示判断依据(如“该用户首次从此国家登录,且其对等组中无人从此地登录”)。可解释性不仅是运营需求,也是合规审查的必要条件。同时,产品提供预置检测模型及其覆盖场景,满足企业当前最紧迫的安全用例。

5.3 误报率与基线学习周期

UEBA上线初期通常伴随较高的误报率,需经历2-8周的行为基线学习期。数据的质量直接关系到了学习期需所需要的数据量。支持“回放”历史日志以加速基线建立。提供误报反馈机制使模型持续优化。通过RAG技术挂载历史风险事件库与威胁情报,在推理时补充上下文以降低误报。

5.4 性能与扩展性

UEBA处理海量行为事件,单节点事件处理吞吐量(EPS/TPS)。数据保留周期与存储成本。支持分布式部署与横向扩展。

5.5 响应能力的闭环程度

“检测”只是手段,“响应”才是目的。产品能与现有IAM、PAM、防火墙、EDR实现自动化联动。支持Webhook、REST API、标准化响应剧本,使风险处置从“人工研判→手动执行”升级为“自动评分→触发响应→效果反馈”的闭环。

5.6 部署模式与合规要求

UEBA产品覆盖SaaS云服务、本地化软件、虚拟化镜像等多种部署形态。涉及敏感数据出境、行业监管(如金融、医疗、政务)的企业,需重点评估部署模式是否满足数据本地化与合规审计要求。同时我们的UEBA系统已完成信创适配。


最后

后面,我们将继续迭代和UEBA的系统能力,计划将从以下三个方面开展:

AI大模型的深度融合:LLM将不仅用于自然语言交互,更将直接参与行为意图理解——从“行为序列匹配”升级为“语义级异常推理”。例如,理解员工“先查询组织架构,再批量导出研发文档”背后的潜在意图。

跨域行为关联:打破IT、OT、IoT域间的行为数据孤岛,构建覆盖“人-设备-应用-物理环境”的全域行为图谱。例如,某员工门禁卡显示已离开园区,但其账号同时从内网发起数据下载——UEBA将物理行为与数字行为关联,识别凭证共享或账号盗用。

隐私增强行为分析:在GDPR、个人信息保护法日趋严格的背景下,UEBA在“分析有效性”与“隐私合规”间取得平衡。联邦学习、差分隐私、同态加密等技术将被引入,使行为建模在保护原始数据不出域的前提下完成。

对于企业安全决策者而言,UEBA已不是“要不要买”的选择题,而是“如何用好”的必答题。在内部威胁超越外部攻击成为主要风险源的今天,谁能更早构建基于行为的动态信任评估能力,谁就能在不对称的攻防对抗中赢得主动权。


本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。

产品清单

企业网络安全运营中心产品

  • 资产安全配置管理系统(SCMDB)
  • 终端侦测与响应系统(EDR)
  • 网络侦测与响应系统(NDR)
  • 企业网络资产攻击面管理系统(CAASM)
  • 资产暴露面管理系统(AEMS)
  • 网络安全蜜罐管理系统(HoneyPot)
  • 安全事件收集与告警管理系统(SIEM)
  • 扩展侦测与响应系统(XDR)
  • 多引擎脆弱性扫描系统(VAS)
  • 多源日志审计监测系统(LAS)
  • 网络安全威胁情报中心(TIS)
  • 网络安全漏洞库管理系统(VDBS)
  • 网络安全编排与自动化响应(SOAR)
  • 威胁狩猎系统(THS)
  • 数据库安全审计系统(DSAS)
  • AI智能体安全态势管理系统(AISPM)
  • Web防火墙(WAF)
  • 网站安全监测平台(WSM)
  • 网络安全态势感知平台(SSAP)
  • 网络安全自动化应急响应工具系统(NSRT)
  • 企业网络安全运维工具系统(SecTools)
  • 网络安全自动化等保测评系统(ASES)
  • 浏览器安全监测防护系统(BSMPS)
  • 网络安全用户实体行为分析系统(UEBA)
  • 互联网电信诈骗预警防护系统(TPFWS)
  • 云原生安全管理平台(CNAPP)
  • 自动化渗透测试系统(PTS)
  • 工业企业信息安全监测中心(IoT SOC)
  • 企业智能安全运营中心(AISOC)

企业自动化运维产品

  • 运维智能监控告警管理平台(AIMAMS)
  • 企业网络工具系统(NTools)
  • 自动化测试系统(AutoTest)
  • 自动化运维系统(AutoOps)
  • 企业运维工具系统(OpsTools)
  • 物联网管理系统(IoTS)
  • 软件开发生命周期管理系统(SDLC)
  • IT流程管理系统(ITSM)

企业数字化运营资源管理系统产品

  • 制造执行管理系统(MES)
  • 运输管理系统(TMS)
  • 跨境电商企业资源管理系统(ERP)
  • 企业客户关系管理系统(CRM)
  • 跨境电商仓库管理系统(WMS)
  • 财务管理系统(FMS)
  • 质量管理系统(QMS)
  • 精准营销管理系统(PMS)
  • 智能生产管理系统(SPMS)
  • 电商BI系统(BI)
  • 智能互联网分布式爬虫系统(AISpider)

ABOUT

【关于我们】

CTO Plus 🥰

【代码工程系列】

【产品系列】

安全运营中心(SOC)-终端侦测与响应系统(EDR)

About

No description, website, or topics provided.

Resources

Stars

0 stars

Watchers

0 watching

Forks

Releases

No releases published

Packages

 
 
 

Contributors