EDR/XDR 中的用户与实体行为分析 (User and Entity Behavior Analytics, UEBA)

1. 基础概念：什么是UEBA？

   • UEBA是一种专门用于检测组织内部威胁的安全技术。它的核心思想是基线化。它不像传统安全工具那样主要依靠已知的恶意签名（如病毒特征码），而是通过机器学习、统计分析等方法，为每个用户（如员工、管理员）和每个实体（如服务器、工作站、应用程序账户）建立“正常”行为模式（行为基线）。
   • 用户：指拥有系统账户的人类，例如员工、承包商、第三方访客。
   • 实体：指非人类的、可以执行操作的对象，例如服务器账户、服务账户、物联网设备、网络设备、应用程序进程。
   • 行为分析：UEBA关注的是这些用户和实体的行为序列，例如登录时间、访问的文件、执行的命令、使用的网络资源、数据访问模式等。

2. 工作原理：UEBA如何运行？

   • 数据采集：UEBA系统从EDR（端点数据）、XDR（整合的日志，如网络流日志、身份验证日志、云活动日志、应用日志）中持续收集用户和实体的活动数据。这是进行分析的原材料。
   • 基线建模：系统利用收集到的数据，为每个用户和实体构建独特的、动态的行为模型。例如，它会学习“财务部张三通常在早上9点到下午6点，从公司IP段登录，主要访问财务系统和内部共享盘特定文件夹”。这个基线是持续更新的，以适应正常的工作变化（如新项目、职责调整）。
   • 风险评分与异常检测：当新的活动发生时，UEBA引擎会将其与已建立的基线进行比较。任何显著偏离基线的行为都会产生一个“异常分数”。例如：
     • 异常：张三在凌晨2点，从未知国家的IP登录，并试图批量下载客户数据库。
     • 异常：一台开发服务器（实体）的服务账户突然开始横向扫描内网中的其他服务器端口。
   • UEBA不仅仅看单次异常，更擅长关联分析。它会将多个看似微弱的异常信号（如异常时间登录+访问罕见文件+使用异常工具）关联起来，形成一个高风险的威胁事件，从而发现隐蔽的高级持续威胁或内部人员恶意行为。

3. 在EDR/XDR环境中的核心价值

   • 检测“无恶意软件”的攻击：许多攻击（如凭证盗窃、内部人员滥用、横向移动）不依赖恶意软件文件，能绕过传统杀毒软件。UEBA通过行为异常来发现这些攻击。
   • 降低误报：相比仅基于规则告警（例如“任何人访问管理员共享都告警”），UEBA结合上下文。如果系统管理员每天访问是正常的，但一个普通员工在非工作时间首次访问就会触发高风险告警。
   • 识别被入侵的账户：当攻击者窃取了合法用户的凭证后，他们看起来就像“合法用户”。UEBA可以通过行为模式的突变（登录位置、速度、操作序列不同）来识别账户是否已被他人控制。
   • 增强XDR的关联能力：UEBA是XDR实现高水平关联分析的关键组件。它将端点的异常行为、网络的异常流量和身份的异常登录等多个数据源的信息，统一到“用户”或“实体”这个维度上进行关联分析，从而讲出一个完整的攻击故事，而不仅仅是孤立的事件。

4. 关键技术方法与输出

   • 机器学习模型：使用无监督学习（发现未知模式）、有监督学习（识别已知恶意模式）和半监督学习来建立和优化基线模型。
   • 同行组分析：将行为相似的用户分组（如“所有财务分析员”）。当某个成员的行为严重偏离其“同行组”的集体行为时，也会被视为异常。
   • 风险评分与告警：系统会为每个用户和实体输出一个动态的“风险评分”，并生成基于风险的优先级告警，帮助安全团队聚焦于最可能造成危害的活动。
   • 可视化时间线与取证：当高风险用户被识别后，UEBA工具能提供该用户或实体在一段时间内的所有活动时间线，清晰展示其行为是如何逐步偏离正常基线的，极大地辅助安全取证和调查。