UEBA (User and Entity Behavior Analytics) — это технология анализа поведения пользователей и сущностей (устройств, приложений, сервисов) в корпоративной сети с целью выявления аномалий и скрытых угроз.
Содержание
Ключевые особенности UEBA
- Базируется на машинном обучении (ML) и поведенческом анализе – в отличие от традиционных SIEM, которые работают по заранее заданным правилам, UEBA выявляет отклонения от "нормального" поведения.
- Фокусируется на инсайдерах и сложных атаках – помогает обнаружить:
- Утечки данных сотрудниками.
- Компрометацию учётных записей (Credential Theft).
- Аномальные действия привилегированных пользователей.
- Подозрительную активность устройств IoT.
- Использует контекстный анализ – учитывает не только события безопасности, но и:
- Роль пользователя в организации.
- Время и частоту действий.
- Геолокацию и устройства доступа.
Как работает UEBA?
- Сбор данных – логи входа, доступ к файлам, сетевой трафик, Active Directory.
- Создание поведенческих профилей – система учится, что является "нормой" для каждого пользователя/устройства.
- Выявление аномалий – например:
- Бухгалтер скачивает базу данных ночью.
- Сервер обращается к неизвестному IP за границей.
- Приоритезация угроз – оценка риска (Low/Medium/High).
- Интеграция с SIEM/SOAR – автоматизация реагирования.
Примеры обнаруженных UEBA угроз
- Компрометация учётной записи – пользователь внезапно начинает работать в 3:00 ночи из новой страны.
- Инсайдерская угроза – сотрудник массово копирует файлы перед увольнением.
- Lateral movement – одна учётка последовательно входит в десятки серверов.
Отличие UEBA от SIEM
Критерий | SIEM | UEBA |
Основа | Правила (signature-based) | ML и поведенческие модели |
Обнаружение | Известные угрозы | Аномалии и неизвестные атаки |
Контекст | События безопасности | Поведение пользователей/устройств |
Применение в SOC
UEBA — критический компонент современного SOC, особенно для:
- Выявления целенаправленных атак (APT).
- Соответствия требованиям GDPR, ФЗ-152 (О персданных), КИИ.
Итог: UEBA переводит кибербезопасность от реактивного подхода ("ищем известные угрозы") к проактивному ("находим подозрительное поведение до ущерба").