YeahTech

UEBA大数据管理分析

产品概述

用户行为分析(UBA),是基于机器学习的行为分析,异常检测,分析用户的活动,并为之确立基线,从而评估某个用户的正常行为和异常行为,一旦用户偏离已知正常状态,就会产生警报。UBA的显著特点是除使用检测可能是威胁的异常用户行为的规则外,还利用机器学习和统计模型。机器学习能够让企业识别之前未知的模式,减少静态规则因无法适应每个用户或变化行为所触发的误报,并且基本上不需要为每个潜在的违规行为定义规则。用户和实体行为分析(UEBA),除了分析用户外,还可以分析其他实体,比如设备、应用程序和端点设备。

产品功能

  • 数据接入

    流采集器、平台接收、流采集器数据、Syslog日志、资产设备、漏洞扫描、威胁情报、部门人员等

  • 数据加工

    行为提炼、协议行为、操作行为、标签、用户分组、设备标签、流量清洗、P2P流量清洗

  • 检测模型

    检测模型、恶意扫描、C&C、可疑域名查询、暴力破解、可疑信息收集、数据泄漏、隐蔽通道、告警合并关联

  • 分析组件

    专题分析、僵木蠕、离职倾向员工行为、关键设备和服务识别、勒索软件、事件管理、用户分析、设备分析、高级交互分析、威胁追踪

  • 事件调查

    自动调查、情报验证、资产关联、漏洞关联、取证、研判、处置通知

核心功能

  • 行业经验

    在超大型客户生产环境中验证可稳定运行的安全大数据分析平台;基于领域知识经验,构建面向领域模型的用户和实体行为数据集

  • ML建模

    利用机器学习与统计技术构建异常行为检测、用户画像、设备标签、风险评分等模型

  • 告警关联

    持续监测、自动关联属于同一个攻击的告警,减少事件Incident量

  • 事件调查

    自动为事件Incident提供证据,自动提供威胁情报验证,提供事件相关用户与设备详细信息,加快研判

  • 专题分析

    面向场景提供自动化检测分析和可视化呈现

  • 高级交互分析

    GQIM(目标-问题-指标-衡量)面向主题的交互分析建模,固化专家分析经验、授权分享模型

  • 威胁追踪

    基于知识图谱,提供图式分析辅助分析人员还原攻击路径、串并案

产品价值

  • 发现未知

    UEBA 可以帮助安全团队发现网络中隐藏的、或未知威胁,包括外部攻击和内部威胁;可以自适应动态的环境变化和业务变化;通过异常评分的定量分析,分析全部事件,无需硬编码的阈值,即使表面看起来细微的、慢速的、潜伏的行为,也可能被检测出来

  • 提升能效

    UEBA 无需设定阈值,让安全团队更有效率。引入全时空上下文,结合历史基线和群组对比,将告警呈现在完整的全时空上下文中,无需安全团队浪费时间手动关联,降低验证、调查、响应的时间;当攻击发生时,分析引擎可以连接起事件、实体、异常等,安全人员可以看清全貌,快速进行验证和事故响应;促使安全团队聚焦在真实风险和确切威胁,提升威胁检测的效率

  • 增强安全可见

    UEBA 可以监控所有账号,无论是特权管理员、内部员工、供应商员工、合作伙伴等;利用行为路径分析,贯穿从边界到核心资产的全流程,扩展了对关键数据等资产的保护;对用户离线、机器移动到公司网络外等情况,均增强了保护;准确检测横向移动行为,无论来自内部还是外部,都可能可以在敏感数据泄露之前发现端倪,从而阻止损害发生;可以降低威胁检测和数据保护计划的总体成本和复杂性,同时显著降低风险以及对组织产生的实际威胁

  • 降低成本

    UEBA 通过聚合异常,相比SIEM、DLP 等工具,大量降低总体告警量和误报告警量,从而降低安全运营工作负载,提升投资回报率(ROI);通过缩短检测时间、增加准确性,降低安全管理成本和复杂性,降低安全运营成本;无监督、半监督机器学习让安全分析可以自动化构建行为基线,无需复杂的阈值设置、规则策略定制,缓解人员短缺问题;通过追踪溯源及取证,简化事故调查和根因分析,缩短调查时间,降低每事故耗费的调查工时,以及外部咨询开销;通过自动化进行威胁及风险排序定级,提升已有安全投资(包括SIEM、EDR、DLP 等)的价值回报