什么是UEBA？

UEBA的全称是“User and Entity Behavior Analytics”，即为用户实体行为分析。此前，也称其为用户行为分析（UBA）。实际上，用户实体行为分析（UEBA）就是使用大型数据集对网络中人类和机器的典型和非典型行为进行建模。并通过定义此类基线，可以识别传统防病毒软件可能无法检测到的可疑行为、潜在威胁和攻击。

而这也意味着用户实体行为分析（UEBA）可以检测基于非恶意软件的攻击，因为它可以分析各种行为模式。用户实体行为分析（UEBA）还使用这些模型来评估威胁级别，创建有助于指导适当响应的风险评分。用户实体行为分析（UEBA）越来越多地使用机器学习来识别正常行为，并对暗示内部威胁、横向移动、受损帐户和攻击的风险偏差发出警报。

另外，根据Gartner 对 UEBA 的定义：它是指提供画像及基于各种分析方法的异常检测，通常是基本分析方法（利用签名的规则、模式匹配、简单统计、阈值等）和高级分析方法（监督和无监督的机器学习等），用打包分析来评估用户和其他实体（主机、应用程序、网络、数据库等），发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。检测对象包括受信内部或第三方人员对系统的异常访问（用户异常），或外部攻击者绕过安全控制措施的入侵（异常用户）。

在数字化带来的巨大变化下，传统的安全威胁发现能力受到了巨大的挑战。传统安全产品、技术、方案基本上都是基于已知特征进行规则匹配来进行分析和检测，基于特征、规则和人工分析，以“特征”为核心的检测分析存在安全可见性盲区，有严重的滞后效应、无力检测未知攻击、容易被绕过，以及难以适应攻防对抗的网络现实和快速变化的企业环境、外部威胁等问题。

因而，在此背景下，用户实体行为分析（UEBA）的“实体”一词可以指 IT 系统、关键基础设施、业务流程、组织等。对于用户实体行为分析（UEBA），这意味着分析这些实体以及个人的行为——尽管个人通常能够作为或通过这些实体行事。

目前，用户实体行为分析（UEBA）的应用场景主要有账号安全、内部威胁、数据渗漏、失陷主机。例如，账号安全中，一是账号本身的操作异常，如创建、提权、删除、暂停、撤回存在异常行为，静默账号忽然出现活动；二是通过对账号行为如登录的时间、地点、频次的异常监控，判断账号是否被盗用或被攻陷。如黑客可能能够窃取员工的登录密码，但一旦进入，黑客将无法模仿“正常”行为，而用户实体行为分析（UEBA）可以检测这种异常行为。

另外，根据 Gartner 的用户和实体行为市场指南，他们预测用户实体行为分析（UEBA）市场在不久的将来将不再作为独立产品存在。Gartner 预测，到 2022 年，多达 95% 的 用户实体行为分析（UEBA）部署将作为更广泛的安全平台的功能，而不是独立产品。

由于收购的急剧增加、转向特定市场或开发附加功能以演变成现代 SIEM（安全信息与事件管理），Gartner 目前甚至不打算跟踪 2020 年以后的用户实体行为分析（UEBA）收入。