来源:https://www.fbcinc.com/e/nlit/presentations/Lin-Applying_User_and_Entity_Behavior_Analytics_fo.pdf
1、内部威胁
三类:
心怀恶意的不满员工
违反可接受的用户策略的特权用户
通过网络钓鱼攻击账户
二、用户实体行为分析
1、360视角的用户和实体行为
2、通过追踪用户和实体的行为,应用算法和静态分析检测有意义的异常
3、使用最小的误报找到感兴趣的异常
4、使用数据去生成异常告警、上下文告警、关注已知的威胁场景、提高告警
三、UEBA的数据科学
1、行为画像
基线正常行为
对于偏差的告警
2、估计背景
状态警报和允许评分校准
3、有针对性的检测
使用已知场景检测威胁
补充现有的基于检测的产品
4、假阳性控制
删除或取消警报
自我调整警报分数
四、行为分析
没有签名,采用统计方法对骨干网异常进行检测
分类数据:国家、设备、应用、进程
数值数字:服务器登陆数量,发送字节数,邮件数量,会话持续时间
一周的数字数据:VPN活动数量,构建访问活动,文件活动
五、行为剖析-建立直方图
1、用户和实体分析
通过网络上的任何实体,无论是用户、主机、进程、对等组还是整个组织
2、直方图调节
•检查收敛性
•噪声去除
3、异常得分
•基于P‐值的假设检验
•基于分布的分数放大或缩小
4、延时训练
•如果出现异常,丢弃数据
•来自异常事件的非污染
六、异常检测
(1)定义异常规则——UEBA的主干
(2)跨越每个已分析的行为维度,定义一个或多个异常规则。
(3)例:如果用户的src_country的p值小于0.05,那么就用15来警告
(4)字段数量:
•400 +直方图
•600+异常规则
(5)资产登录和访问活动:AD日志
从用户到资产的第一个或异常访问
从用户peer到资产的第一个或异常访问
从用户到资产的第一个或异常访问
登陆资产的异常数量
(6)防止数据丢失活动:打印机日志
从用户到打印机的第一个或异常访问
打印的异常页面的数量
异常打印时间
(7)物理访问活动:访问日志
(8)数据库活动:数据库日志
(9)Web活动:代理日志
七、评分
八、用户和实体行为分析(UEBA)
简单为王!
•白盒的方法
−隐藏分析来自用户的复杂性
−输出必须轻松简单
−适应并允许操作的灵活性配置
九、上下文估计用例
需要支持上下文的异常规则
上下文信息在复杂的IT环境中并没有常常给出
十、账户分类
十一、对等点分析
确定最佳的对等组来校准用户的警报
与静态AD对等组的挑战
−许多类型(部门、头衔)
−重叠组(安全组)
最佳对等组是指从组成员到用户的行为相似性最高的组
十二、检测用例
十三、域名生成算法检测
十四、每日活动变更检测
为模式或容量变化建立长期行为模型
十五、第一次访问告警的误报约减