UEBA (User and Entity Behavior Analytics)

UEBA (User and Entity Behavior Analytics) — это технология анализа поведения пользователей и сущностей (устройств, приложений, сервисов) в корпоративной сети с целью выявления аномалий и скрытых угроз.

Ключевые особенности UEBA

  • Базируется на машинном обучении (ML) и поведенческом анализе – в отличие от традиционных SIEM, которые работают по заранее заданным правилам, UEBA выявляет отклонения от "нормального" поведения.
  • Фокусируется на инсайдерах и сложных атаках – помогает обнаружить:
    • Утечки данных сотрудниками.
    • Компрометацию учётных записей (Credential Theft).
    • Аномальные действия привилегированных пользователей.
    • Подозрительную активность устройств IoT.
  • Использует контекстный анализ – учитывает не только события безопасности, но и:
    • Роль пользователя в организации.
    • Время и частоту действий.
    • Геолокацию и устройства доступа.

Как работает UEBA?

  1. Сбор данных – логи входа, доступ к файлам, сетевой трафик, Active Directory.
  2. Создание поведенческих профилей – система учится, что является "нормой" для каждого пользователя/устройства.
  3. Выявление аномалий – например:
    1. Бухгалтер скачивает базу данных ночью.
    2. Сервер обращается к неизвестному IP за границей.
  4. Приоритезация угроз – оценка риска (Low/Medium/High).
  5. Интеграция с SIEM/SOAR – автоматизация реагирования.

 

Примеры обнаруженных UEBA угроз

  • Компрометация учётной записи – пользователь внезапно начинает работать в 3:00 ночи из новой страны.
  • Инсайдерская угроза – сотрудник массово копирует файлы перед увольнением.
  • Lateral movement – одна учётка последовательно входит в десятки серверов.

Отличие UEBA от SIEM

Критерий SIEM UEBA
Основа Правила (signature-based) ML и поведенческие модели
Обнаружение Известные угрозы Аномалии и неизвестные атаки
Контекст События безопасности Поведение пользователей/устройств

Применение в SOC

UEBA — критический компонент современного SOC, особенно для:

  • Выявления целенаправленных атак (APT).
  • Соответствия требованиям GDPR, ФЗ-152 (О персданных), КИИ.

Итог: UEBA переводит кибербезопасность от реактивного подхода ("ищем известные угрозы") к проактивному ("находим подозрительное поведение до ущерба").