背景

随着网络安全形势的愈发严峻，网络攻击的复杂性与隐蔽性越来越成为困扰安全团队的难题。在数字信息时代，安全团队希望通过大数据分析和机器学习，提高内部风险与外部威胁的可见性与预判能力，提升威胁检测与处理的准确性与及时响应的能力。

而传统的安全防护主要基于单点的有限信息，基于非黑即白的防控规则，对新型威胁无法做到自适应检测和防御，存在大量的漏报（false negative）和误报（false positive)现象。2020年信通院在网络安全先进技术与应用发展系列报告（UEBA）中指出，攻击者的不对称优势一直是安全团队面临的最大问题，用户实体行为技术（user and entity behavior analytics）能够帮助补全行为分析这块拼图，从海量的网络安全数据中发现恶意的攻击行为，从而逆转这种不对称的情况，改善传统网络安全的滞后效应，减少网络安全事件出现的风险。

Exabeam是一家全球网络安全方面的优秀公司，也是Gartner2021 SIEM魔力象限的领导者，Exabeam具有独立的纯UEBA产品- Advanced Analytics，本文我们将学习通过Exabeam与CrowdStrike的合作解决方案梳理和借鉴Exabeam在UEBA方面的优秀做法。

什么是UEBA

UEBA 发展历史

任何网络威胁的来源都是人发起的，一切的攻击最后都落实在账号、数据资产、应用程序等实体上。2014年Gartner将User Behavior Analytics （用户行为分析）定义为网络安全的一个子类工具，旨在通过高级统计分析进行异常检测从而发掘用户在网络和系统中的异常或恶意行为。后来2015年Gartner又增加了E（entity）的部分用来强调“entity behavior”（实体行为）的重要性，比如服务器、路由、应用程序、IOT设备等等。E也就意味着除了用户行为之外其他实体行为和用户行为之间的关联也经常被用来生成更精准的威胁画像从而帮助检测更复杂的攻击行为。

UEBA的能力要求

一个完备的UEBA系统需要满足并不限于以下几点能力要求：

1. 监控和分析行为：能够监控和收集用户以及实体在整个网络中的行为，存储原始数据以及分析数据；
2. 异常检测：基于统计分析和时序信息动态刻画用户或实体的行为基线（baseline），检测出明显偏离正常基准行为的行为或事件，从而可以揭示出来自内部或外部的安全风险；
3. 基于机器学习和高级统计分析，使得不仅能够检测已知威胁也能挖掘未知威胁，减少漏报率，用数学概率模型取代传统非黑即白的规则判断；
4. 组合各种类型的事件：能够识别跨多个用户、实体、IP地址的安全事件，能够组合来自不同数据源，例如来自杀毒软件、防火墙、DLP 和VPN等；
5. 近乎实时的响应：UEBA需要做到在威胁事件一发生就立刻响应，减少事件响应的滞后性。

UEBA和传统SIEM的区别

Gartner认为UEBA是传统SIEM的一种有效补充，其和SIEM、SOAR的融合是现代SIEM的发展方向，UEBA和传统SIEM的区别体现在：

1. SIEM 往往受限于某个时间段的信息和事件分析，而UEBA则更倾向于实时分析用户或实体行为，通常基于事件上下文检测异常威胁，并进行处理响应。
2. SIEM 是基于规则的，在为 IT 专业人员提供寻找威胁所需的数据方面做得非常好，包括有关已经发生的事件、发生时间和地点的详细信息。但是，传统SIEM需要人工分析数据，尤其是检测异常和威胁。而UEBA 使用机器学习模型和算法执行实时分析。这些分析提高了响应安全威胁所需的速度，同时还提供了对未来可能发生事件的预测能力。
3. SIEM 摄取结构化日志, 添加新数据类型通常需要升级现有存储方式和一定的人工干预。此外，SIEM 不会将用户及其活动的数据关联起来，也不会在应用程序、时间或用户行为模式之间建立联系。UEBA 旨在处理来自各种来源的大量数据，包括结构化和非结构化数据集。它可以分析跨应用程序和跨时间跨网络的数据关系，并深入研究同组用户或实体以找到可能有助于检测、和预防威胁的价值数据。
4. SIEM 在帮助 IT 安全人员编译有价值的短期事件快照方面做得非常好。随着时间的推移，它在存储、查找和分析数据方面效率较低。例如，SIEM 为搜索历史数据提供了有限的选项。UEBA 需要实时查看几乎任何数据类型，包括短期和长期数据。这产生了可应用于各种用例的洞察力，例如基于风险的访问控制、内部威胁检测以及与IOT、医疗和其他设备相关的基于实体的威胁检测。
5. 最后，SIEM 集中和管理来自主机系统、应用程序以及网络和安全设备（如防火墙、防病毒过滤器等）的安全事件，存在高比例的误报告警，这些告警无法全部进行调查，这可能导致“真正”的网络威胁未被发现。UEBA 提供风险评分，它提供了对威胁的精细排名，通过对网络中所有用户和实体的风险进行排名，UEBA 使企业能够根据不同的用户和实体构成的威胁级别对不同的用户和实体应用不同的控制。从而大大消除了误报的数量。

UEBA的架构和技术

UEBA 是一个完整的系统，涉及到算法、工程等检测部分，以及 用户实体风险评分排序、调查等用户交互、反馈。从架构上来看， UEBA 系统包含三个层次，分别是数据中心层、算法分析层、场景应 用层。其中，算法分析层一般运行在实时流处理、近线增量处理、 离线批量处理的大数据计算平台之上。

就其算法分析而言，首先应基于用户和实体的历史行为及其属性创建行为基线以及群组特征，然后根据行为指标可以利用IF、KNN等传统机器学习算法进行异常检测，或者也可以采用深度学习技术，例如RNN、LSTM等进行异常检测，检测出异常之后，需要通过某些风险打分算法对其风险进行打分排序，提示处理的优先级。同时UEBA的完善也离不开整个访问、事件、异常、告警、通知过程中提取出的安全知识图谱的构建，使得系统可以了解完整的攻击路径和脆弱的设备资产，从而进行更好的防御与响应。最后，根据用户的反馈和真实的处理效果进行自适应的强化学习也是UEBA系统持续演进流程的必不可少的一环。

下面我们通过Exabeam和CrowStrike的一个合作案例来学习UEBA如何帮助企业发现用户的内部潜在风险。

Exabeam 和 CrowStrike如何基于UEBA进行威胁检测

工作流程

首先通过CrowStrike 客户端采集流式FDR(Falcon Data Replicator)数据，然后将流式FDR数据导入Exabeam，通过Exabeam的UEBA进行用户和实体的行为检测分析。通过以上数据UEBA可以建立用户和实体的行为基线（behavior baseline），然后刻画用户的属性分布，对威胁检测的结果进行打分，并创建时间线，进一步分析验证。

案例介绍

风险打分

首先通过风险打分排序找到最有可能存在风险的用户或资产，比如在analytics全局页面可以看到notable user和notable assets 两个排序。

风险趋势

接下来我们选取其中风险得分为344的用户Howard进行初探，首先查看该用户在近一个季度中风险趋势(User Risk Trend)，发现其风险打分有了明显的上升。

风险原因

然后通过风险原因(Risk Reasons)进一步探测为什么其风险得分上升的具体细节

智能时间线

最后可以通过智能时间线的方式调研该用户的异常行为被判断成异常的原因，该智能时间线可以让分析师不用花费数天或数周时间收集证据并构建事件时间表，直接使用UEBA，就可以预先构建事件的时间线标志，可以标注异常并显示事件的详细信息，以帮助分析师了解事件的全部内容及其上下文。

Exabeam对每一类用户和每一种资产都根据FDR数据生成了对应的模型信息，比如Howard的某次访问就触发了Trojan.Generic（泛型木马）的威胁模型。

补充说明

动态组群分析

用户行为模式通常基于无数属性，包括他们所属的团队，他们参与了哪些项目，他们所在的办公地点等等。因此，其行为基线不应该是静态的。exabeam的动态的用户分组可以通过机器学习将用户分配到基于他们行为所属的群体，然后将他们的活动与这些群体的活动进行比较，以识别异常的、有风险的行为。

横向移动检测

横向移动是攻击者在网络中使用移动的不同 IP 地址、身份信息、资产设备的一种方法。这增加了行为分析的困难性，因为往往只会集中某一部分的数据信息。而完备的UEBA必须能够从各处分析数据，将攻击内容与攻击源头联系起来。Exabeam的Advanced Analytics 专利技术可追踪不同来源的可疑活动，即使这些行为跨设备、IP 地址或身份认证。比如下图中攻击者分别冒充BARBARA和DB_ADMIN两种身份的用户进行风险行为，Exabeam通过跟踪状态的改变，将这类基于不同身份信息的访问行为都汇总到BARBARA身上。

总结

在Gartner peer打分中，有一位来自健康领域的用户这样评价Exabeam的Advanced Analytics ，称其为UEBA领域的Gamer Changer，主要表扬其在log4j安全漏洞公示以来，Exabeam的Advanced Analytics帮助企业升级版本的高效、自动化以及清晰流畅，并认为其价有所值。可见相较于其高昂成本，只要能做出真正对用户有价值的产品就会有用户愿意为之买单。