在当今的网络中，特别是当用户在IP、资产、云服务和移动设备之间无缝地移动时，他们收集了非常多的信息。。UBA专注于用户行为，而不是静态的威胁指示器。。也就是说，它可以检测到没有被映射到威胁情报的攻击，并在攻击初期发出恶意行为的警报。。

随着网络变得更加复杂，想要成功侵入企业网络，伪装成内部员工，避开外部防御变得比以往任何时候都容易。。如果攻击者能够侵入网络，并且不被检测到，那么机密数据就会被重复窃取，从而造成经济损失。。用户行为分析通过揭示用户的行为模式来发现隐形攻击者的活动，并找出“正常”行为和入侵者侵害、内部威胁或网络危险行为的证据。。

ユーザー行動分析の仕組み

用户行为分析可以很容易地判断出潜在的威胁是由员工造成的，还是由伪装成员工的外部人员造成的，无论是过失还是恶意。。UBA将他们在网络上的行为与特定用户联系起来，而不是IP地址或资产。也就是说，当用户开始了不同寻常的行为时，即使没有通过传统的边界监测工具建立标记，它也能迅速地识别这个动作，判断是否异常，并在必要时展开调查。。

比如，窃取的资格信息是入侵测试者和真正的罪犯经常使用的攻击向量。。当犯罪分子通过钓鱼攻击、恶意软件、密钥记录甚至第三方数据侵犯来获取凭证时，他们只需要一对正确的用户名和密码。。只要你能登录，它就能悄悄地在网络中移动，不会被检测到。。但是，当攻击者进入时，他们通常会采取与正常用户不同的行动，比如在资产之间横向移动。。入侵者一步一步地移动，通常被称为“攻击链”或“杀伤链”，寻找更有趣的东西作为攻击目标和引出的数据。。

什么是正常的用户行为，什么是不正常的。。用户行为分析可以提供数据，帮助我们识别趋势和发现离群值，从而更容易、更迅速地识别和调查潜在的威胁，切断攻击链。。

用户行为分析的概要

为了找出倾向并将其联系起来，首先需要将主要的行为数据集中到一起，以便日后利用分析工具进行分析。。过去，用户行为分析是添加到现有的安全信息事件管理(siem)的附加层。。

用户行为分析是多层次化的综合IT和信息安全战略的一部分，以防止攻击和调查威胁。。它可以成为一个非常强大的工具，可以早期检测到侵犯，降低风险，防止攻击者窃取组织数据。。

总结

用户行为分析是确保组织内部安全的必要手段。。近年来，随着物联网(IoT)的扩大和网络脆弱可能被恶意利用的设备的增加，UBA得到了飞跃性的发展。。不管你是在寻找可疑内部人员的威胁，还是在监视特权账户，UBA都是防止IT基础设施遭到入侵攻击的新措施之一。。