下一代UEBA分析：用户行为深度洞察与实体关系追踪

实体行为分析是一种先进的安全监控技术，它主要关注用户、文档和终端这三大核心实体，以及它们的相关属性。在5.0版本的UEBA（User Entity Behavior Analysis，用户实体行为分析）模型中，数据收集包含了丰富的细节，如用户的用户名/域、用户类型（如运维、研发、操作和办公等）、风险评分和效率评分。这些评分基于安全和效率知识库，通过对用户的活动进行深入监控，评估其行为的正常性和潜在威胁。 用户是中心实体，其属性包括网络位置、物理位置，以及根据常用应用和访问网站自动或人工指定的用户类型。风险评分和效率评分的计算方法涉及到对用户行为的复杂分析，例如检查是否存在敏感关键字、文件操作（如上传、下载、移动文件等）、聊天中的敏感内容、执行危险程序或命令、访问受限网站，甚至远程连接行为等。UEBA系统还关注登录失败、工作流程违规和非典型的工作行为，如迟到、频繁查询同一页面等，这些都被视为可能的风险信号。 另一方面，高效行为则是指符合常规操作模式的行为，如快速完成业务、高频率的操作活动以及稳定的在线时间。5.0版本的UEBA主要聚焦于汇聚用户的风险分数，但未来版本可能会扩展到其他实体的分析。 关系追踪分析部分则强调了用户之间的交互，例如直接连接的社交网络行为，如QQ和邮件沟通，可以帮助发现潜在的异常关联。用户可以通过选择特定用户，观察他们与其他用户的关系，以便更好地理解可能存在的威胁或协作模式。 在讨论部分，提出了一些关于UEBA设计的问题，如是否允许用户自定义用户类型、是否设定默认行为规则、是否允许用户或管理员自定义知识库，以及系统的报警方式是直接标记原始日志还是生成新告警。此外，对于知识库中的效率低效行为和高效行为标准，也存在待细化和完善的地方。 实体行为分析旨在通过精细化的数据收集和智能分析，帮助组织识别出异常行为，提升网络安全防护能力，同时考虑到用户体验和灵活性，以便在保护系统的同时保持正常的业务流程。