“UEBA之笔”画出业务系统五大威胁

颁布功夫 2018-12-11

2018年12月4日，我们为某省会级城市的公安行业用户交付了安审平台系统，即合多安全审计日志分析系统（以下简称“LAS系统”）。由于使用UEBA技术为用户发现了多起数据泄露检测、内部账号滥用检测、规定绕行异常等安全威胁行为，得到了用户的首肯。

合多LAS系统可以为用户交付业务威胁画像的能力，有效提升用户对于业务系统的异常行为的威胁鉴别正确度和溯源真正威胁行为的能力，起到沉要的平台作用。

幼贴士：具体内容能够参看《合多LAS系统使用UEBA技术进行业务威胁画像的汇报》。

UEBA技术（User and Entity Behaviours Analytics）——用户实体行为分析，是网络安全领域里发现异常行为是一种沉要的能力。好多时辰，异常事务无数是一个幼概率事务，由于用户对这类事务的精准度要求高，持久以来不足有效的检测机造作为保险。在传统检测机造中，我们过度依赖已知威胁检测（譬如IDS、IPS、NGIDS、NGIPS、FW、NGFW等）的已知规定来做检测，检测引擎里内置规定或经验，但通过已知规定的机造，规定阈值不足矫捷性容易引起误判，正确度不够。而UEBA伎俩则是从数据分析的视角去发现关键问题，我们从聚焦数据内容自身到内容高低文关系、行为分析等，从单点单条检测到多维度大数据分析来发现更多更正确的有价值信息。本案中，我们使用了五个业务威胁画像的能力，援手用户正确定位了业务系统的安全威胁，大大提升了用户的安全防护能力：

【威胁画像一】：利用离群分析，挖掘行为异常个别

合多LAS系统无需对用户利用系统业务进行任何直接操作的前提下，自动拔取一按功夫段内的日志数据，对人员的作息功夫、工作地址、行为个性（操作频度及工作热区功夫段）、幼我特点（春秋及所属机构）等多个维度进行离群分析，从而挖掘出存在异常行为的人员，即用户或账号，如下图所示：

图1：数据驱动离群分析了局展示

【威胁画像二】：构建行为基线，披露个别疑难行为

合多LAS系统会凭据用户自身需要，结合用户或账号构建行为基线，譬如，系统能够划定哪些账号在什么功夫内能够接见业务系统；账号的接见权限有哪些等等。我们发现了该用户的日接见量突变，从而判定了个别疑难行为。如下图所示：

图2：日接见突变分析了局展示

图中能够看出，其日接见量突变趋向在某一个功夫点产生显著的变动，逾越日均值数倍之多。

【威胁画像三】：基于疑难行为，判定个别异常性质

本案中，合多LAS系统提取到了账户作息功夫的异常行为信息，如下图所示：

图3：作息功夫分析了局展示

从了局展示能够看出，该用户或账号对业务系统的操作行为，重要集中在上午10点左右、晚上7点至8点这两个功夫段内，且非工作功夫接见占比力高。

图4：异常行为——非工作关系XX查问占比高分析了局展示

从通过对该用户或账号进一步分析发现，其行为与性质工作无现实关联关系，属于非工作关系的查问，即在非工作功夫突增的接见量都是和自身业务机构/工作没有关系的（即越权接见、疑似数据盗�。�，那么，初步判定该用户或账号对业务系统组成肯定的业务行为威胁。

【威胁画像四】：利用关系图谱，溯源可疑关联人员

凭据合多LAS系统提供的关系图谱职能，可对可疑人员、账号、用户进行关联分析，从多个维度（机构、利用、内容等）分析与其存在关联的人员。

图5：利用LAS提供的关系图谱职能，还发现关联人员

【威胁画像五】：还原日志信息，列举可疑人员操作

凭据筛选的可疑人员名单，利用LAS的日志搜索对其查问操作进行了回溯，最终确认其威胁行为。

图6:利用LAS系统的日志信息发现所有操作

通过上述业务威胁画像能够看出，某省会级城市的公安行业用户通过安审平台的基础建设，实现了海量利用系统日志的采集、存储和分析利用，深度挖掘分析、预警等实战利用，基于大数据技术的成熟使用，实时发现和处置业务系统中的越权接见、数据盗取等异常操作行为，将海量审计数据真正利用起来，切实解决信息资源使用治理中的安全问题。

合多LAS系统的主题是基于UEBA技术，通过度析挖掘与“正常”模式存在误差的异常行为，来检测拥有威胁的用户和实体，使用机械进建、算法和统计分析等伎俩来相识何时与已成立的模式存在误差，通过与自身账号原行为模型进行比力，结合其他维度的异常行为模型进行分析，发现哪些账户可能被黑客盗取节造，还能够对涉及的异常类型，异常情况明细、轨迹散布等信息进行发现，显示哪些异�？赡艿贾虑痹诘恼媸低�，是检测内部用户的异常行为、分析甄别威胁的一件利器。合多LAS系统除了上述交付能力之表，还能够聚合汇报和日志中的数据，以及关联文件、流和数据包信息，在海量日志数据的噪声中，有效降低安全事务分析的工作量，提高告警的针对性和正确率。通过与SIEM类平台，譬如SOC和态势感知平台的结合，可阐扬更多有效价值。

参考文件:

1.https://mp.weixin.qq.com/s/yLiQbpoI6TyOc-R0bUeuqA

2.https://mp.weixin.qq.com/s/OftrYdfSudSP_gPdYa6kmA

3.https://mp.weixin.qq.com/s/oWRkuYfh3TNfV61ssv8rTg

4.https://baike.www.alibaba-yz.com/item/%E7%9B%97%E6%A2%A6%E7%A9%BA%E9%97%B4/31288?fr=aladdin

往期有关阅读

让数据可视化变得单一 —TSOC安全可视化专版正式颁布
https://mp.weixin.qq.com/s/oWRkuYfh3TNfV61ssv8rTg

解读—郭启全总工关于等保2.0等五项工作内容的沉要讲话

https://mp.weixin.qq.com/s/OftrYdfSudSP_gPdYa6kmA

盛开融合，让安全数据可视化变得单一——杭州专项颁布会侧记

https://mp.weixin.qq.com/s/_1rhIxFgF79eCcT8S9xwkg

安防领域的态势感知原来是这样的

https://mp.weixin.qq.com/s/f-LU3aPmOLYN11EQTDvj9g

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

关于GA黄金甲

“UEBA之笔”画出业务系统五大威胁

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线