基于行为轨迹精细化用户行为分析(UEBA)

开发交流 置顶 精帖
收藏
8 4260
Sunny912
Ethan 未认证 2018-09-10 18:29:03
付费话题:0 积分

     在完整的企业安全视角,用户视角是非常核心的分析视角,基于用户视角,我们可以对许多潜在的威胁行为进行有效分析,对于企业网络中活跃的各类用户及其行为进行精准监控与分析,是对传统资产视角、业务视角的有力补充。

    

    在赛博坦套件开发平台中,我们提供了要用户分析套件,帮助用户进行基于用户视角的安全分析。我们可以从以下几个角度了解非常有特色的赛博坦用户分析套件。

    一) 用户测绘分析

    用户分析套件可以从用户网络中通过LDAP协议、4A系统等直接同步用户信息, 而通过赛博坦用户分析套件独有的用户测绘功能,可以从异构、多样的原始日志或流量数据中实时挖掘用户对象,并根据上下文数据与相关情景数据对用户对象进行建模。 

   

    二) 用户异常分析

    基于赛博坦智能安全分析引擎的支撑,我们可以对用户进行全面的安全分析。

    1) 关联分析引擎使用多事件关联算法发现用违规行为,如用户暴力破解行为、用户违规使用脆弱性协议等问题,赛博坦开发平台已经预置大量关联规则。 

    2) 行为分析引擎使用机器学习算法与专家经验双驱动检测用户异常行为,如可疑数据泄露行为、AD域账户行为异常、账户失陷分析等。 

    3) 专项分析引擎针对复杂的安全异常场景提供专项引擎分析,用户也可以方便的以小程序的方式扩充自己的专项安全分析引擎。

   如下图,我们通过行为分析引擎配置针对AD域账户异常分析的场景。

  

    三)用户轨迹建模

    用户轨迹建模引擎采用行为会话构建算法对用户各种行为进行全面梳理与分析,使用户能够真正基于“行为”视角而不是单一“事件”视角对用户进行分析。为了精确的构建用户行为会话,我们需要对用户登录登出日志、用户所在主机日志、用户使用安全设备(针对FW的访问与配置、针对IDS的访问与策略调整等 )的日志、用户相关的异常行为事件(智能安全分析引擎的分析结果)、各类安全日志、流量日志进行信息增强分析与关联分析。

    

    四) 用户画像分析

    用户画像分析分为用户角色分析与行为属性特征提取两大部分,以标签模式进行提现,包括用户基础属性标签、行为属性标签、安全属性标签。在赛博坦套件中,我们主要分析用户的安全属性与相关角色。 

    

    五)用户风险打分

    用户轨迹反映了用户登录、认证、被攻击、扫描等各种安全行为,基于用户轨迹上的各种事件及用户价值,对用户进行风险打分,以宏观视角审视全网用户,将风险高的用户呈现出来。 

    

    六)异常用户调查

    赛博坦套件提供了用户异常行为“追根究底”的调查能力,通过以下几个层次进行分析: 

    1)用户风险得分异常 

    2)引发用户风险得分异常的特征维度或行为分析策略 

    3)用户行为基线与异常偏离分析 

    4)相关原始事件调查 

    我们基于980万数据规模的使用运行环境中提取的AD域运行日志样本数据集合,非常精确的发现异常账户行为并实现精确地日志追溯。 如下图,我们可以看到具体的用户异常行为事件,并查看其基线信息与异常信息。可以非常清楚的看到账户SEI***用户AD域相关操作在8月7日16点和基线行为值发生的明显的偏离。 

    

    如下图,我们可以对该异常行为对应的原始事件进行详尽调查或提取日志。发现在16点出现了大量计算机试图验证帐户的凭据错误的日志。

    

    基于该千万级数据集,使用赛博坦套件的历史行为分析模式,我们自动测绘发现了1105个用户对象,基于时序计数函数,以5分钟粒度进行AD域异常行为检测,后台进行了约32.8万次建模、异常判定与打分计算,在单节点的情况下,这所有的工作仅需要用户等待不到40秒。 

     智能、快速、灵活是赛博坦用户行为分析套件的标签!


回帖
  • 小飞侠
    2019-11-15 19:57:46

    问下,用户的基线是如何得出来的呢?是先让系统运行一段时间之后,假定这个时间段都是正常数据,然后以这部分数据作为初始基线,然后后续如果有新的行为判断是正常在更新基线吗?

    0 回复
  • Ethan
    2018-09-12 11:15:37
    @ 一辉:ok,好啊
    1 回复
  • 一辉
    2018-09-11 10:49:55

    我直接在标题上加了一个UEBA,提交百度后便于搜索。

    1 回复
  • 一辉
    2018-09-11 10:46:58
    @ Ethan:我也很活跃呀
    0 回复
  • 一辉
    2018-09-11 10:09:34
    @ Ethan:既然是自愿的,那就没有问题了。
    0 回复
  • Ethan
    2018-09-11 09:34:10
    @ 一辉:赛博坦社区活跃者可以作为示例用户写入用户行为分析程序,这是对论坛活跃用户的一种小小奖励
    0 回复
  • Ethan
    2018-09-11 09:30:03
    @ 一辉:这是功能开发者CT故意搞得名字:)
    0 回复
  • 一辉
    2018-09-10 21:23:14

    功能很强大,建议给top5用户打个码吧,名字好眼熟。。。  

    0 回复