Inhaltsverzeichnis

Was ist UEBA (User and Entity Behavior Analytics)?

Inhaltsverzeichnis

User Entity Behavior Analytics (UEBA) ist eine sich entwickelnde Cybersicherheitslösung, die fortschrittliche Analysen verwendet, um Anomalien im Verhalten von Benutzern und Entitäten im Netzwerk einer Organisation zu erkennen. Im Gegensatz zu herkömmlichen Sicherheitsmaßnahmen konzentriert sich UEBA auf die Muster und Nuancen der Benutzeraktivitäten und nutzt diese Erkenntnisse, um potenzielle Sicherheitsbedrohungen zu identifizieren.

Die UEBA entstand als Reaktion auf die immer raffinierteren Cyber-Bedrohungen, insbesondere auf Insider-Angriffe und Advanced Persistent Threats (APTs). Im Laufe der Zeit hat sich UEBA von der einfachen Erkennung von Anomalien hin zur Einbeziehung von maschinellem Lernen, KI und Big Data-Analysen entwickelt und bietet einen dynamischeren und vorausschauenden Ansatz für die Cybersicherheit.

 

Wie UEBA funktioniert

Datenerfassung und Analyse

UEBA-Systeme sammeln umfassende Daten, einschließlich Benutzeraktivitäten, Netzwerkverkehr und Zugriffsprotokolle. Diese Daten bilden das Rückgrat der UEBA-Analyse und fließen in ausgeklügelte Algorithmen ein, die jeden Aspekt des Nutzerverhaltens innerhalb des Netzwerks unter die Lupe nehmen.

Festlegung des Grundverhaltens und Erkennung von Anomalien

Der Kern der UEBA-Funktionalität liegt in der Fähigkeit, eine Basislinie für "normales" Verhalten für jeden Benutzer und jedes Unternehmen zu erstellen. Es vergleicht dann kontinuierlich die aktuellen Aktivitäten mit dieser Basislinie und markiert Anomalien, die auf potenzielle Sicherheitsbedrohungen wie Datenexfiltration, Insider-Bedrohungen oder kompromittierte Konten hinweisen könnten.

 

Vorteile der Implementierung von UEBA

UEBA verbessert die Erkennung komplexer und subtiler Cyber-Bedrohungen erheblich, insbesondere solcher, die sich herkömmlichen Sicherheitsmaßnahmen entziehen. Sein verhaltensbasierter Analyseansatz ist besonders praktisch bei der Bekämpfung von Insider-Bedrohungen und APTs, wodurch er für Unternehmen immer wichtiger wird und mehrere wichtige Funktionen und Vorteile bietet:

  • Identifizierung von Insider-Bedrohungen: UEBA ist besonders effektiv bei der Identifizierung von böswilligen oder fahrlässigen Aktivitäten von Insidern. Da diese Benutzer legitimen Zugang zu den Systemen haben, sind ihre schädlichen Aktionen mit herkömmlichen Sicherheitstools schwieriger zu erkennen.
  • Verhaltensprofilierung und Risiko-Scoring: UEBA-Tools beinhalten häufig Verhaltensprofile und Risikobewertungsmechanismen. Diese Funktionen helfen bei der Priorisierung von Sicherheitswarnungen, so dass sich die Sicherheitsteams auf die wichtigsten Probleme konzentrieren können.
  • Compliance und gesetzliche Anforderungen: Viele Branchen haben strenge Anforderungen an den Datenschutz und die Privatsphäre. UEBA hilft dabei, diese Anforderungen zu erfüllen, indem es detaillierte Einblicke in das Nutzerverhalten bietet und sicherstellt, dass anomale Aktivitäten schnell erkannt und behoben werden.
  • Erweiterte Bedrohungserkennung: UEBA-Systeme verwenden fortschrittliche Analysen, um abnormales Verhalten oder Anomalien bei Benutzeraktivitäten zu erkennen. Dies ist von entscheidender Bedeutung für die Erkennung ausgeklügelter Cyber-Bedrohungen, die von herkömmlichen Sicherheitsmaßnahmen möglicherweise übersehen werden, wie Insider-Bedrohungen, kompromittierte Konten oder Advanced Persistent Threats (APTs).
  • Verbesserte Sicherheitsposition: Durch die Integration von UEBA in ihre Sicherheitsstrategie können Unternehmen ihre Sicherheitslage verbessern. UEBA bietet einen tieferen und differenzierteren Einblick in die Aktivitäten der Benutzer, wodurch Risiken besser erkannt und gemildert werden können.
  • Prävention von Datenverlusten: UEBA kann durch die Überwachung des Nutzerverhaltens dazu beitragen, Datenschutzverletzungen und -verluste zu verhindern. Es kann ungewöhnliche Zugriffsmuster oder Datenübertragungen erkennen, die auf ein Datenleck oder einen Diebstahlsversuch hinweisen könnten.
  • Effiziente Reaktion auf Vorfälle: Im Falle eines Sicherheitsereignisses können UEBA-Tools detaillierte Kontext- und Benutzeraktivitätsaufzeichnungen liefern. Diese Informationen sind entscheidend für eine schnelle und effektive Reaktion auf Vorfälle und helfen, die Auswirkungen von Sicherheitsverletzungen zu minimieren.
  • Automatisierte Reaktion und Behebung: Fortschrittliche UEBA-Lösungen können mit anderen Sicherheitstools integriert werden, um die Reaktion auf erkannte Bedrohungen zu automatisieren. Dies reduziert den Zeit- und Arbeitsaufwand für die Behebung und erhöht die Gesamteffizienz des Security Operations Center (SOC).
  • Langfristige Trendanalyse und Forensik: UEBA-Tools können Langzeitdaten speichern und analysieren, was für Trendanalysen und forensische Untersuchungen nach einem Sicherheitsvorfall wertvoll ist.
  • Anpassung an die sich entwickelnde Bedrohungslandschaft: UEBA-Systeme können sich an die sich entwickelnden Cyber-Bedrohungen anpassen, indem sie kontinuierlich aus neuen Datenmustern lernen. Dies hilft Unternehmen, aufkommenden Bedrohungen einen Schritt voraus zu sein.

 

Beispiele für UEBA

Die folgenden Beispiele veranschaulichen die Vielseitigkeit und Bedeutung von UEBA-Lösungen in modernen Cybersicherheitsstrategien. Hier finden Sie einige Beispiele für UEBA-Anwendungen in verschiedenen Kontexten:

  • Bedrohungserkennung durch Insider: UEBA-Lösungen können potenziell bösartige Aktivitäten von Insidern erkennen, z. B. wenn Mitarbeiter zu ungewöhnlichen Zeiten oder in ungewöhnlich großen Mengen auf sensible Daten zugreifen oder diese herunterladen, was auf Datendiebstahl hindeuten könnte.
  • Identifizierung eines kompromittierten Kontos: Wenn sich das Verhalten eines Benutzers plötzlich ändert - z.B. der Zugriff auf verschiedene Systeme oder Daten, die er normalerweise nicht nutzt, insbesondere zu ungewöhnlichen Zeiten - könnte dies ein Hinweis darauf sein, dass sein Konto kompromittiert wurde.
  • Erkennung von Anomalien in IT-Systemen: UEBA-Tools können Anomalien in IT-Systemen und Netzwerken aufspüren, z. B. ungewöhnliche Anmeldeorte oder -zeiten, unerwartete Datenströme oder Spitzen beim Datenzugriff oder der Datennutzung.
  • Aufdeckung von Betrug: Im Finanzbereich oder im E-Commerce kann UEBA verwendet werden, um betrügerische Aktivitäten wie ungewöhnliche Transaktionsmuster zu erkennen, die auf möglichen Betrug oder Finanzkriminalität hinweisen.
  • Überwachung des Datenschutzes im Gesundheitswesen: Im Gesundheitswesen kann UEBA dazu beitragen, die Compliance mit den Datenschutzgesetzen zu gewährleisten, indem es den Zugriff auf Patientendaten überwacht und feststellt, ob Mitarbeiter auf Daten zugreifen, ohne dafür eine legitime Notwendigkeit zu haben.
  • Advanced Persistent Threats (APTs) Erkennung: UEBA kann bei der Aufdeckung von APTs, bei denen Angreifer Systeme infiltrieren und lange Zeit unentdeckt bleiben, hilfreich sein, da es subtile, langfristige Veränderungen im Verhalten erkennen kann.
  • Schutz vor Datenexfiltration: Durch die Überwachung des Datenzugriffs und der Datenbewegungen kann UEBA potenzielle Versuche der Datenexfiltration erkennen, z. B. das Kopieren großer Datenmengen auf externe Laufwerke oder das Hochladen auf Cloud-Dienste.
  • Erkennung von Phishing-Angriffen: UEBA kann manchmal die Folgen von Phishing-Angriffen erkennen, z. B. wenn Anmeldeinformationen nach einer erfolgreichen Phishing-Expedition auf ungewöhnliche Weise verwendet werden.
  • Integration mit anderen Sicherheitssystemen: UEBA arbeitet häufig mit Sicherheitssystemen wie SIEM (Security Information and Event Management) zusammen und verbessert so die Bedrohungserkennung und die Reaktionsmöglichkeiten.
  • Automatisierte Alarmierung und Reaktion auf Vorfälle: UEBA-Systeme können die Alarmierung von Sicherheitsteams über verdächtige Aktivitäten automatisieren und manchmal in Reaktionssysteme integriert werden, um sofortige Maßnahmen zu ergreifen, wie die Sperrung eines Benutzers oder die Änderung der Zugangskontrollen.

 

Häufige Anwendungsfälle für UEBA

User and Entity Behavior Analytics (UEBA) ist ein wertvolles Instrument zur Erkennung von Cyber-Bedrohungen und Sicherheitsverletzungen. Es ist besonders nützlich bei der Identifizierung von Insider-Bedrohungen, der Verhinderung von Datenschutzverletzungen und Betrug und der Ergänzung bestehender Sicherheitssysteme.

Bedrohungserkennung durch Insider

UEBA kann Insider-Bedrohungen aufdecken, indem es ungewöhnliche Aktivitäten identifiziert, die von Standard-Sicherheitstools unbemerkt bleiben könnten. Zu diesen Aktivitäten gehören der unbefugte Zugriff auf sensible Daten oder anomale Datenübertragungen.

Vorbeugung von Datenschutzverletzungen und Betrug

UEBA kann ungewöhnliche Transaktionsmuster oder Datenzugriffe, kritische Indikatoren für Datenschutzverletzungen und Betrug erkennen. UEBA kann Sicherheitsverletzungen verhindern und sensible Daten schützen, indem es diese Muster erkennt.

Integration von UEBA in bestehende Sicherheitssysteme

UEBA kann andere Sicherheitstools wie Security Information and Event Management (SIEM) ergänzen und die Gesamteffektivität der Sicherheitsinfrastruktur einer Organisation verbessern. Durch die Integration von UEBA in bestehende Systeme kann eine Organisation eine nuanciertere und umfassendere Sicht auf potenzielle Bedrohungen erstellen.

Die Rolle der UEBA in einer ganzheitlichen Sicherheitsstrategie

UEBA sollte als Bestandteil einer umfassenderen Sicherheitsstrategie betrachtet werden, die andere Werkzeuge und Prozesse ergänzt, um eine mehrschichtige Verteidigung gegen Cyber-Bedrohungen zu schaffen. Durch die Implementierung von UEBA neben anderen Sicherheitsmaßnahmen kann sich eine Organisation besser vor Cyberangriffen schützen.

 

Herausforderungen und Überlegungen bei der Bereitstellung von UEBA

Bei der Bereitstellung von UEBA gilt es, Sicherheits- und Datenschutzbedenken auszubalancieren, Fehlalarme zu bewältigen und mit neuen Bedrohungen der Cybersicherheit Schritt zu halten. Eine der größten Herausforderungen bei der Implementierung von UEBA ist es, sicherzustellen, dass die Überwachung und Analyse des Nutzerverhaltens in einer Weise erfolgt, die die Privatsphäre respektiert und den gesetzlichen und rechtlichen Standards entspricht.

Verwaltung von False Positives und Benutzerfreundlichkeit

UEBA-Systeme müssen fein abgestimmt sein, um Fehlalarme zu minimieren, die Sicherheitsteams überfordern und möglicherweise die Benutzerfreundlichkeit beeinträchtigen können. Durch das Management von Fehlalarmen kann eine Organisation die Arbeitsbelastung der Sicherheitsteams reduzieren und die Benutzerfreundlichkeit verbessern.

 

Vielfältige Bedrohungen, die von der UEBA angegangen werden

UEBA-Systeme sind darauf ausgelegt, ein breites Spektrum von Cyber-Bedrohungen zu erkennen, zu verhindern und zu entschärfen. Ihre Möglichkeiten reichen bis zu:

  • Anomales Benutzerverhalten: Erkennung von Abweichungen von normalen Aktivitätsmustern, wie z.B. ungewöhnliche Anmeldezeiten oder Änderungen im Benutzerverhalten, die auf mögliche Sicherheitsverletzungen hinweisen.
  • Indikatoren für Kontokompromittierung: Identifizierung verdächtiger Anmeldeversuche, einschließlich Brute-Force-Angriffen und unbefugtem Zugriff mit gestohlenen Anmeldedaten, die auf mögliche Kontoübernahmen hindeuten.
  • Missbrauch von Privilegien: Erkennen des Missbrauchs umfangreicher Zugriffsrechte, unbefugter Versuche, Berechtigungen zu ändern, und anderer Formen des Missbrauchs von Privilegien, die die Sicherheit gefährden könnten.
  • Interne Bedrohungslandschaft: Bekämpfung von Insider-Bedrohungen, einschließlich böswilliger Insider-Aktivitäten, unbefugtem Zugriff auf Daten oder Anwendungen sowie Datendiebstahl oder Sabotageversuchen.
  • Taktiken zur Datenexfiltration: Erkennung von Versuchen, Daten auf ungewöhnliche Weise zu übertragen oder auf Dateien in einer Weise zuzugreifen, die auf eine mögliche Datenexfiltration schließen lässt.
  • Malware- und Ransomware-Aktivitäten: Erkennen von Anzeichen für Malware- oder Ransomware-Infektionen, einschließlich Anomalien am Endpunkt und für Ransomware typische Muster, wie z.B. weit verbreitete Dateiverschlüsselung.
  • Identifizierung von Richtlinienverstößen: Erkennen von Aktionen, bei denen Benutzer die Sicherheitskontrollen umgehen oder auf eingeschränkte Ressourcen zugreifen und damit gegen die festgelegten Richtlinien verstoßen.
  • Phishing und Social-Engineering-Versuche: Erkennung von Benutzerinteraktionen mit bösartigen Links oder E-Mail-Anhängen, die auf Phishing oder Social-Engineering-Attacken hindeuten.
  • Advanced Persistent Threats (APTs): Aufdeckung laufender, ausgeklügelter Angriffe, die sich den Standard-Sicherheitsmaßnahmen entziehen könnten, und Bereitstellung einer zusätzlichen Erkennungsebene.
  • Erkennung von Zero-Day-Exploits: Die Identifizierung von bisher unbekannten Schwachstellen und Exploits ist entscheidend für die Abwehr neuartiger und aufkommender Bedrohungen.

 

Integration von UEBA und XDR

XDR ermöglicht es Unternehmen, die Sichtbarkeit zu verfolgen, mit Tools zu integrieren, Analysen im großen Stil zu nutzen und Untersuchungen zu vereinfachen. XDR ermöglicht es Analysten, schneller und proaktiver auf Bedrohungen zu reagieren.

Die UEBA-Funktionen werden jetzt in XDR (Extended Detection and Response) integriert, ein fortschrittliches Tool zur Bedrohungserkennung, das aus EDR (Endpoint Detection and Response) hervorgegangen ist. XDR stellt einen bedeutenden Fortschritt dar, denn es bietet tiefere Einblicke und einen breiteren Anwendungsbereich als herkömmliche SIEM-Produkte. Es verbessert die Sichtbarkeit von Bedrohungen in verschiedenen Datenquellen wie Netzwerken, Endpunkten und Clouds.

XDR vereint die Funktionen von EDR, UEBA, NTA (Network Traffic Analysis) und Antivirus der nächsten Generation in einer einheitlichen Lösung, die umfassende Transparenz und hochentwickelte Verhaltensanalysen bietet. Diese Integration beschleunigt nicht nur die Ermittlungsprozesse, sondern steigert auch die Effizienz der Sicherheitsteams durch Automatisierung erheblich und sorgt so für eine robustere Abwehr von Sicherheitsbedrohungen in der gesamten Infrastruktur.

 

UEBA gegen NTA

UEBA- und NTA-Lösungen nutzen maschinelles Lernen und Analysen, um verdächtige oder bösartige Aktivitäten nahezu in Echtzeit zu erkennen. Während UEBA-Systeme das Benutzerverhalten analysieren, überwachen NTA-Systeme den gesamten Netzwerkverkehr und die Datenströme, um potenzielle Angriffe zu erkennen. Beide Lösungen bieten investigative Einblicke, um Bedrohungen zu entschärfen, bevor sie Schaden anrichten.

Vorteile und Nachteile von UEBA und NTA
UEBA
Vorteile Nachteile
  • Ermöglicht die Anwendung von Analysen und Data Science auf Protokolldaten, um Sicherheitsbedrohungen aufzudecken, die andernfalls in riesigen Datenbeständen verborgen bleiben würden.
  • Ermöglicht die Verfolgung und Überwachung aller Benutzer und anderer Einheiten, die das Netzwerk nutzen. 
  • Reduziert Sicherheitsereignisse und verbessert die betriebliche Effizienz erheblich.
  • Bietet eine eingeschränkte Sicht auf das Verhalten und die Ereignisse im Netzwerk, da die UEBA-Protokolle nur für einen kleinen Teil des Netzwerks eines Unternehmens aktiviert sind.
  • Ist nicht in der Lage, spezifische Sicherheitsangriffe zu identifizieren.
  • Verlassen sich auf die Protokolle von Drittanbietern, um potenzielle Bedrohungen zu überwachen, zu identifizieren und zu analysieren und Risikobewertungen zu vergeben - wenn ein Logger eines Drittanbieters ausfällt, kann ein UEBA seine Aufgabe nicht erfüllen.
  • Langsame Bereitstellung - viele Anbieter behaupten, dass UEBA in wenigen Tagen bereitgestellt werden kann, aber Gartner-Kunden berichten, dass es bei einfachen Anwendungsfällen oft 3-6 Monate und bei komplexen Fällen bis zu 18 Monate dauert. 
  • Erfordert viele funktionsübergreifende Genehmigungen und Systemkonfigurationen.
NTA
Vorteile Nachteile
  • Ermöglicht es Unternehmen, alle Ereignisse, nicht nur die protokollierten, in ihrem gesamten Netzwerk zu sehen, einschließlich aller Aspekte der Aktivitäten und Techniken eines Angreifers, von den frühen bis zu den späten Phasen eines Angriffs. 
  • Ermöglicht es Unternehmen, Profile von Netzwerkgeräten und Benutzerkonten zu erstellen.
  • Lässt sich relativ einfach bereitstellen.
  • Macht sich in kurzer Zeit bezahlt, erfordert aber dennoch das Fachwissen eines Sicherheitsteams, um zu wissen, welche Arten von Sicherheitsproblemen zu suchen sind und wie man sie erkennt.
  • Bietet eine Abdeckung, die zwar breit, aber flach ist.
  • Ist nicht in der Lage, lokale Ereignisse zu verfolgen.

 

UEBA vs. SIEM

Im Gegensatz zu UEBA, das sich auf das Verhalten von Benutzern und Entitäten konzentriert, konzentriert sich SIEM auf die Daten von Sicherheitsereignissen. Das bedeutet, dass SIEM Daten aus Quellen wie Sicherheitsprotokollen, Firewall-Protokollen, Intrusion Detection and Prevention-Protokollen und dem Datenverkehr im Netzwerk sammelt und analysiert, während UEBA benutzer- und entitätsbezogene Quellen und viele verschiedene Arten von Protokollen nutzt.

Der Hauptanwendungsfall von SIEM ist die Sicherheitsüberwachung in Echtzeit, die Korrelation von Ereignissen, die Erkennung von Vorfällen und die Reaktion darauf. UEBA konzentriert sich auf die Erkennung von Insider-Bedrohungen, Kontokompromittierungen, Privilegienmissbrauch und anderen abnormalen Verhaltensweisen oder Datenbewegungen im Zusammenhang mit Aktivitäten. UEBA verwendet Algorithmen des maschinellen Lernens und statistische Modellierung, um "normale" Verhaltensbaselines zu erstellen, während SIEM regelbasierte Korrelation und Mustererkennung verwendet.

UEBA kann auch in SIEM-Systeme integriert werden, um die Analyse des Benutzer- und Entitätsverhaltens zu verbessern, während SIEM-Lösungen oft UEBA-Funktionen als Modul enthalten.

 

UEBA gegen IAM

Im Gegensatz zu UEBA, das sich auf das Verhalten von Benutzern und Entitäten konzentriert, befasst sich Identity Access Management (IAM) mit der Verwaltung von Benutzeridentitäten und Zugriffsrechten sowie mit Möglichkeiten zur Erkennung von Versuchen, Identitäten zu manipulieren, um unbefugten Zugriff auf Daten, Anwendungen, Systeme und andere digitale Ressourcen zu erhalten.

IAM stützt sich in erster Linie auf Benutzeridentitäts- und Zugriffsdaten, wie Benutzerprofile, Rollen, Berechtigungen, Authentifizierungsprotokolle und Zugriffskontrolllisten (ACLs). Es verwaltet und regelt die Erstellung, Änderung und Entfernung von Benutzeridentitäten und Zugriffsrechten. UEBA verwendet verschiedene Datenquellen für einzelne Benutzer und Entitäten, wie Endpunkte, Server und andere Infrastruktur.

Während UEBA sich auf die Bedrohungserkennung und die Eindämmung von Insider-Bedrohungen durch ausgefeilte, normalisierte Analysen konzentriert, wird IAM für das Identitäts-Lebenszyklusmanagement, die Provisionierung von Zugriffen, die rollenbasierte Zugriffskontrolle (RBAC), die einmalige Anmeldung (SSO) und die Durchsetzung von Zugriffsrichtlinien verwendet.

 

Zukünftige Trends und Entwicklungen im UEBA

Die Zukunft von UEBA ist eng mit den Fortschritten im Bereich der KI und des maschinellen Lernens verknüpft, die die Vorhersagefähigkeit und Effizienz von UEBA-Lösungen weiter verbessern werden. Es wird erwartet, dass sich UEBA als Reaktion auf neue Bedrohungen der Cybersicherheit weiterentwickelt und fortschrittlichere Analysen und Vorhersagemodelle einbezieht, um raffinierten Angreifern einen Schritt voraus zu sein.

 

Die Wahl der richtigen UEBA-Lösung

Bei der Auswahl einer UEBA-Lösung sollten Sie unbedingt auf Skalierbarkeit, Integrationsfähigkeit, Algorithmen für maschinelles Lernen und die Fähigkeit, verschiedene Datenquellen zu verarbeiten, achten. Es ist auch wichtig, Anbieter auf der Grundlage ihrer Erfolgsbilanz, des Kundensupports, der Lösungsflexibilität und der laufenden Weiterentwicklung ihrer Produkte zu bewerten.

 

UEBA-FAQs

Cortex XDR, die erste erweiterte Erkennungs- und Reaktionsplattform der Branche, enthält eine Identitätsanalysefunktion für umfassende UEBA . Identity Analytics erkennt riskantes und bösartiges Benutzerverhalten, das herkömmliche Tools nicht erkennen können. Es identifiziert Angriffe wie den Diebstahl von Zugangsdaten, Brute-Force-Angriffe und den "unmöglichen Reisenden" mit beispielloser Genauigkeit, indem es Verhaltensanomalien erkennt, die auf einen Angriff hindeuten.

Die Identitätsanalyse bietet eine 360-Grad-Ansicht jedes Benutzers, einschließlich einer Risikobewertung des Benutzers und der damit verbundenen Warnungen, Vorfälle, Artefakte und jüngsten Aktivitäten. Außerdem liefert es den Benutzerkontext, indem es Daten von HR-Anwendungen wie Workday und anderen Sicherheitslösungen für Identitätsmanagement und Governance sowie von führenden Identitätsanbietern sammelt. Sofort einsatzbereite UEBA-Erkennungen decken ausweichende Bedrohungen auf, indem sie mehrere Arten von Daten untersuchen.

UEBA kann sowohl proaktiv als auch als Reaktion auf ein mögliches Ereignis eingesetzt werden. Cybersecurity-Teams oder -Dienstleister nutzen es proaktiv, um Angriffe zu erkennen, sobald sie auftreten, um eine - vorzugsweise automatisierte - Reaktion auszulösen. In einer reaktiven Haltung überprüft die UEBA Protokolle und andere Daten zu Sicherheitsereignissen, um bereits erfolgte Angriffe zu untersuchen.

Die drei Säulen von UEBA (User and Entity Behavior Analytics), wie von Gartner definiert, sind:

  • Anwendungsfälle: UEBA-Lösungen sollten Anomalien im Verhalten von Benutzern und Entitäten in verschiedenen Anwendungsfällen überwachen, erkennen und Alarm schlagen.
  • Datenquellen: UEBA-Systeme sollten in der Lage sein, Daten aus allgemeinen Datenbeständen oder über ein SIEM aufzunehmen, ohne Agenten direkt in der IT-Umgebung bereitstellen zu müssen.
  • Analytik: UEBA setzt verschiedene Analysemethoden ein, darunter statistische Modelle, maschinelles Lernen und mehr, um Anomalien zu erkennen.

Diese Säulen unterstreichen den umfassenden Ansatz der UEBA bei der Überwachung und Analyse von Verhalten, um Sicherheitsbedrohungen zu erkennen.

Verwandter Inhalt
AI SOC Lösungen
Das hybride Unternehmen von heute erzeugt ein Vielfaches der Sicherheitsdaten von vor ein paar Jahren. Doch das typische...
Warum Cortex?
Erfahren Sie mehr über unsere integrierte Suite von KI-gesteuerten, intelligenten Produkten für das SOC
XDR für Dummies
Unter Verwendung eines sicherheitsspezifischen Datenmodells und der Anwendung von maschinellem Lernen automatisiert XSIA...
XDR für Dummies
Laden Sie dieses Hörbuch herunter, um alles über XDR zu erfahren
Zurück Was ist SIEM?
Weiter Was ist SIEM-Protokollierung?

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen