# Analys av användar- och entitetsbeteende (UEBA) Lär dig hur du identifierar och motverkar illvilliga interna aktörer och externa hotaktörer. [Utforska UEBA i ManageEngine Log360](https://www.manageengine.com/se/log-management/user-and-entity-behavior-analytics.html?source=ueba-pillarpage) ## Vad är UEBA? Analys av användar- och entitetsbeteende (UEBA), eller avvikelsedetektering, är en cybersäkerhetsteknik som använder maskininlärningsalgoritmer (ML) för att upptäcka avvikande aktiviteter från användare, värdar och andra enheter i ett nätverk. För att upptäcka avvikelser lär sig UEBA först det förväntade beteendet hos alla användare och enheter i ett nätverk och skapar en baslinje för var och en av deras normala aktiviteter. Varje aktivitet som avviker från denna baslinje flaggas som en avvikelse. UEBA-lösningar blir allt mer effektiva i takt med att de samlar på sig mer erfarenhet. För att förstå hur UEBA skapar en beteendeprofil för varje användare, låt oss gå igenom ett exempel och förstå hur människor gör det först. Tänk dig John, en nyanställd praktikant på marknadsavdelningen. På sin första arbetsdag känner säkerhetsvakten igen honom som en ny person och är extra uppmärksam för att säkerställa att alla hans behörigheter är korrekta. Vakten registrerar också tiden när John går in och ut ur byggnaden. Han övervakar Johns aktivitet under några dagar och lär sig hans förväntade tidsmönster – ankomst kl. 10.00 och hemgång kl. 18.00. Alla avvikelser från detta, såsom att John anländer kl. 05.00, kommer att väcka vaktens misstankar. Det är så här människor upptäcker en avvikelse. På liknande sätt kommer ML-algoritmen i en UEBA-integrerad [SIEM-lösning](https://www.manageengine.com/se/log-management/siem/what-is-siem.html?utm_source=ueba_pillar_page) att övervaka loggdata för att fastställa mönster i ditt nätverk. Till exempel kommer en användares in- och utloggningstider samt deras åtgärder på vissa enheter att ge SIEM-lösningen information om vilka aktiviteter som kan förväntas från den användaren. När UEBA-motorn har övervakat aktiviteterna under några dagar kommer den att känna till användarens förväntade beteende, inklusive eventuella avvikelser från det. Användarens riskpoäng kommer att öka för att indikera hur allvarligt hotet är, och SIEM-lösningen flaggar en varning till säkerhetsanalytikerna. **”Men om en människa redan kan göra det, varför behöver man då UEBA?”** Eftersom det inte är mänskligt möjligt för ditt säkerhetsteam att ständigt övervaka och analysera beteendet hos tusentals anställda i organisationen, generera rapporter om avvikande aktiviteter i olika delar av nätverket och omedelbart vidta lämpliga åtgärder. ### Vilken typ av avvikelser kan UEBA-lösningen identifiera? UEBA identifierar avvikelser som är kopplade till tid, antal och mönster. **Tidsavvikelse:** Om en användare eller enhet avviker från den förväntade baslinjen kallas det för en tidsavvikelse. Exempel: John loggar in kl. 05.00 i stället för kl. 10.00. **Antalsavvikelse:** Om en användare eller enhet utför ett onormalt antal aktiviteter inom en kort tidsperiod. Exempel: En användare öppnar kunddatabasen 50 gånger mellan kl. 11.00 och 12.00. **Mönsteravvikelse:** Om en oväntad sekvens av händelser leder till atypisk eller obehörig åtkomst. Exempel: Ett konto lyckas logga in efter åtta misslyckade försök, följt av radering av flera filer och dataöverföringar. --- ## UEBA:s tre grundpelare Gartners definition av UEBA omfattar tre nyckelattribut: användningsfall, datakällor och analys. ### Användningsfall UEBA-lösningar identifierar avvikande beteenden kopplade till insiderhot, kompromettering av konton, dataexfiltrering och dagnollattacker. ### Datakällor UEBA bör kunna samla in data från händelseloggar, nätverkstrafik och slutpunktsenheter genom integration med en SIEM-lösning eller via informationslager och datasjöar, utan krav på agenter. ### Analys UEBA använder maskininlärningsalgoritmer, statistiska modeller, hotsignaturer och regelbaserade metoder för att fastställa beteendebaslinjer och analysera beteenden i kontext av användarroller och behörigheter. --- ## Komponenter i UEBA ### 1. Dataanalys Insamling och analys av data från olika loggkällor för att identifiera avvikelser från normalt beteende. ### 2. Dataintegration Integration av data från loggar, paketinspelningar och andra datamängder med befintliga säkerhetssystem. ### 3. Presentation av data Visualiseringar, diagram och rapporter som visar mönster, avvikelser och riskpoäng för att stödja beslutsfattande. --- ## Hur fungerar UEBA? UEBA övervakar aktiviteter hos användare och enheter och jämför dem med deras beteendebaslinjer. Varje användare och enhet tilldelas en riskpoäng mellan 0 och 100 baserat på graden av avvikelse. Det finns två metoder: ### Övervakad maskininlärning Systemet tränas med kända goda och dåliga beteenden. ### Oövervakad maskininlärning Systemet genomgår en träningsperiod för att själv lära sig normalt beteende. ### UEBA:s arbetsmekanism UEBA använder statistiska modeller som RPCA och Markovkedjor. ### RPCA ![Bästa anpassade linjen enligt RPCA-algoritmen](https://cdn.manageengine.com/sites/meweb/images/se/log-management/images/ueba-rcpa-2024.png) RPCA analyserar historiska data för att fastställa en bästa anpassad linje. Outliers betraktas som avvikelser och används för att identifiera tids- och antalsavvikelser. ### Markovkedjor ![Identifiering av mönsteravvikelser med hjälp av Markovkedjor](https://cdn.manageengine.com/sites/meweb/images/se/log-management/images/ueba-markov-2024.png) Markovkedjor analyserar sannolikheten för sekvenser av händelser. Lågsannolika sekvenser identifieras som mönsteravvikelser. Exempel: **Mönster:** Användarnamn > Värdnamn > Tid - **Del 1:** Användarnamn > Värdnamn - **Del 2:** Värdnamn > Tid Om någon del är osannolik betraktas mönstret som avvikande. --- ## Överensstämmelse mellan SIEM och UEBA Gartner betraktar UEBA som en funktion inom SIEM-lösningar. SIEM samlar in och analyserar säkerhetshändelser, medan UEBA fokuserar på beteendeanalys. Tillsammans ger de snabbare hotidentifiering och effektivare incidentrespons. --- ## UEBA-användningsfall ### Tecken på ett insiderhot - Nya eller ovanliga åtkomster - Ovanliga åtkomsttider - Ovanlig filåtkomst eller ändringar - Många misslyckade autentiseringsförsök ### Tecken på kompromettering av konto - Ovanlig programvara - Flera installationer på en värd - Många misslyckade inloggningar ### Tecken på dataexfiltrering - Ovanligt många filnedladdningar - Flera flyttbara diskar skapade - Ovanliga kommandon - Onormala inloggningar ### Tecken på avvikelser vid inloggning - Flera misslyckade inloggningsförsök - Lyckad inloggning efter flera misslyckade - Inloggning vid ovanliga tider - Inloggning från ovanliga platser - Obehöriga inloggningar --- ## Fördelar med UEBA för säkerhetsarbetet - Bättre skydd mot dagnollattacker - Minskade falska positiva och negativa - Holistisk riskpoängsberäkning - Upptäcker långsiktiga laterala rörelser - Mindre beroende av manuella regler - Fokus på varningar med hög risk --- ## UEBA idag ### Analys av jämförelsegrupper Statisk och dynamisk jämförelsegruppering förbättrar riskbedömning genom att jämföra användare med liknande grupper. ### Säsongsbunden Identifierar regelbundna aktiviteter och flaggar avvikelser från säsongsbetonade mönster. ### Anpassad modellering av avvikelser och riskbedömning Organisationer kan skapa anpassade modeller och riskfaktorer baserade på sina behov. ### Mappning av användaridentitet Kopplar flera konton till en gemensam identitet och konsoliderar riskpoäng över system. --- ## UEBA inom hälso- och sjukvård UEBA upptäcker tidiga tecken på utpressningstrojaner och skyddar patientinformation samt säkerställer regelefterlevnad. --- ## UEBA inom BFSI Ger realtidsinsyn i IT-ekosystem och stärker bedrägeridetektering och övervakning av insiderhot i finansiella miljöer. --- ## UEBA inom utbildningssektorn Skyddar känslig student- och personalinformation genom kontinuerlig beteendeanalys och tidig hotidentifiering. --- ## Så här väljer du rätt UEBA-lösning ### Realtidsvarningar Meddelanden om avvikelser i realtid. ### Datainsamling och analys Kontinuerlig insamling och analys av loggar och nätverksdata. ### Anpassningsbara avvikelsemodeller Möjlighet att skapa egna modeller. ### Handlingsbara rapporter Tydliga rapporter för snabb åtgärd. ### Korrekt riskbedömning Riskpoäng per användare och värd. ### Jämförelsegruppsanalys Minskar falska positiva genom gruppbaserad jämförelse. --- ## Vanliga frågor ### Vad är skillnaden mellan UBA och UEBA? UBA fokuserar på användare. UEBA analyserar både användare och enheter. ### Vad är skillnaden mellan NTA och UEBA? NTA analyserar nätverkstrafik. UEBA analyserar beteenden på en högre nivå och identifierar insiderhot och dagnollattacker. ### Vad är skillnaden mellan UEBA och EDR? UEBA analyserar beteenden brett. EDR fokuserar på hot på slutpunktsnivå. Tillsammans ger de flerskiktat skydd. ### Hur bidrar UEBA till att minska hot? Genom att identifiera avvikelser tidigt minskar UEBA svarstiden (MTTR) och begränsar skador. ### Vad är skillnaden mellan UEBA och traditionella säkerhetsverktyg? UEBA använder maskininlärning istället för enbart regelbaserade metoder och kan upptäcka sofistikerade attacker. ### Ersätter UEBA andra säkerhetsverktyg? Nej, UEBA kompletterar verktyg som brandväggar och SIEM. ### Genererar UEBA falska positiva resultat? Falska positiva kan förekomma, särskilt under inlärningsfasen, men minskar när baslinjer etablerats.