Как UEBA помогает повышать уровень кибербезопасности
Продукты UEBA определяют шаблоны в типичном поведении пользователей, а затем детектирует аномальные действия, которые не соответствуют этим шаблонам и могут представлять проблемы с безопасностью. Кроме того, системы UEBA выявляют нетипичные события в различных сущностях (entity), к которым относят рабочие станции, программное обеспечение, сетевой трафик, СХД и прочее и т. п.
Для определения отклонений применяются разнообразные аналитические методы, включая машинное обучение. Кстати, существует и класс UBA-систем, которые, как несложно догадаться, анализируют только ту информацию, которая связана с пользователями и их ролями. Источниками данных для UEBA-систем являются файлы логов серверных и сетевых компонентов, систем безопасности, локальные журналы с конечных рабочих ПК.