1个前提5个关键措施，落地UEBA项目

引言

在写本篇文章之前，笔者考虑许久，主要是担心学艺不精，无法把UEBA如何有效落地阐述清楚，班门弄斧是小事，万一误导了各位专家老师那就是罪过了。不过转念一想，笔者本人也在奇安信、360等国内安全大厂待过几年，对主流安全产品有所了解，最重要的是自己有幸作为项目经理全程参与了几个UEBA项目的落地，有成功的，有失败的。笔者希望通过自己的实际项目落地经验能够抛砖引玉，带给大家一些启发。因此，本文主要探讨UEBA在企业中如何有效落地。

背景

Gartner的定义中，UEBA（User and Entity Behavior Analytics）围绕着U（用户行为分析数据）、E（主机、应用、进程）等相关维度，将来自于SIEM、网络流量、数据防泄漏、终端管理、IAM/PAM以及EDR等相关平台的数据作为分析的上下文进行关联，检测与分析相关用户/实体的异常行为。

从2014年Gartner发布用户行为分析（UBA）市场界定到2022年多达95%的用户实体行为分析（UEBA）部署将作为更广泛的安全平台功能，而非独立产品，历经十余年的发展与演进，UEBA受到了越来越广泛的关注和应用。那么UEBA具体能够解决哪些场景问题呢？

UEBA能够解决的场景问题

UEBA能够解决账号使用异常、内部威胁、数据泄漏、业务欺诈等场景。

账号使用异常：账号失陷检测、账号共用检测、特权账户使用监测

内部威胁：内部资源访问滥用、内部人员窃取信息

数据泄漏：邮件异常数据发送、敏感数据外发

业务欺诈：撞库、薅羊毛、刷单等

那么针对上述场景，如何能够有效落地UEBA，并使其发挥价值呢？

UEBA如何有效落地

笔者认为UEBA有效落地有1个前提+5个关键措施。

前提

技术方面：

1. 企业的IT基础设施完善，安全建设较为成熟；

2. 企业相对稳定的内部和外包人员，最好有一个统一的人员身份账号管理系统，比如零信任、IAM、4A等，因为最终我们要定位到人，而不是某一个账号或者某一台笔记本；

3. 企业最好已经建设类似SIEM/SOC等平台，采集了大部分的数据，并对这些数据进行了治理。

管理方面：

1. 企业有对应的安全管理规定，有高价值的敏感数据，缺少技术手段去发现和落地；

2. 因建设方和使用方一般都是技术部门，发现异常的人或者异常行为往往需要跨部门协调，因此需要和各个部门达成一致，避免发现了问题却无法确认。

关键措施一：合理预期

组织内外部对UEBA有合理的预期，并对目标达成一致。

在组织内部，UEBA的目标和预期应与组织的整体战略目标相一致。UEBA能够帮助组织实现其业务目标，例如提高效率、降低成本、改善客户体验等。组织应对UEBA的潜在价值进行充分评估，并制定合理的预期。

在组织外部，UEBA的目标和预期应与监管要求相一致。UEBA可以帮助组织满足监管要求，例如反洗钱、反腐败、数据保护等。组织应对相关监管要求进行充分了解，并制定合理的预期。

只有当组织内外部对UEBA有合理的预期，并对目标达成一致时，才能确保UEBA的成功落地。

因此，组织应成立UEBA项目组，由来自不同部门的代表组成，开展UEBA培训，帮助员工了解UEBA的功能和潜在价值，定期评估UEBA的实施效果，并根据实际情况调整目标和预期。

通过采取这些措施，组织可以提高UEBA实施的成功率。

关键措施二：明确场景

场景不切实际，效果一定不理想。

在UEBA实施过程中，组织需要对场景进行充分的分析和设计。如果场景不切实际，则会导致UEBA无法实现预期的目标、实施成本和风险增加、实施效率降低等问题。因此，组织在实施UEBA时，应考虑场景的合理性、可执行性，通过对场景进行充分的分析和设计，组织可以提高UEBA实施的成功率，并获得理想的效果。

常见的场景设计一般有两种方案，一种是根据已有的数据构造场景，另一种是先设计好场景，再根据场景接入需要的数据源。

第二种方案的场景更具有针对性，即先在组织内部明确要建立的场景，然后再看看需要什么样的数据，这样更有针对性，效果也会更好。比如，要建立组织内人员的用户画像，包括每天几点刷卡、每天使用哪些机器、访问哪些网站、文件下载的频率等，根据这些画像行为再决定需要什么样的数据，比如门禁的打卡数据、服务器或者应用的数据、上网行为管理数据、FTP服务器日志等等。

关键措施三：高质量数据

输入的是“垃圾数据”，产出的肯定也是“垃圾数据”。

UEBA依赖于数据进行分析和识别异常行为。如果数据质量不高，则会导致误报、漏报。因此，组织在实施UEBA时，应重点关注数据质量。具体来说，组织应做好以下工作：

1. 首先参考关键措施一，企业要有一套标准的身份管理体系，例如4A、IAM、零信任等，若企业同时具有4A、AD、HR系统，还需要考虑把人员账号进行统一关联，确保能够定位到具体的人；

2. 数据来源除了常见的安全设备、主机、操作系统的数据外，一般还有AD数据、IAM数据、业务应用数据等，具体可根据场景确定接入哪些数据源；

3. 出于安全性和便捷性，组织一般会进行多次NAT地址转换，一对一或者是一对多映射，这给安全分析工作带来了不小的挑战，如果有地址映射表，可通过脚本把地址进行关联，便于安全分析。

关键措施四：规则加模型

机器学习不是万能的。

不可否认，机器学习是UEBA场景实现的重要手段，能够通过大量数据的学习训练，建立基线，识别异常行为，但是机器学习需要大量的数据进行训练，易受到“噪声”的影响，必要时候需要进行人工的干预。

因此，企业在实施UEBA时，不能完全依赖机器学习，而应该结合统计分析、黑名单等技术，提高UEBA的检测准确性。

统计分析是一种传统的安全分析技术，能够通过分析数据中的频率、趋势等特征，识别异常行为。黑名单可以用于识别已知的威胁行为，从而提高检测的准确性。

结合统计分析和黑名单，可以有效提高UEBA的检测准确性。例如，可以利用统计分析来识别异常行为的趋势，然后利用黑名单来过滤掉误报。

关键措施五：持续运营

持续运营非常重要。

UEBA需要持续优化模型，并定期对告警进行分析处理。只有通过持续运营，才能确保UEBA能够长期有效发挥作用。在UEBA项目的初期，由于数据不够充分，模型还不够成熟，可能会产生大量的误报，这些误报需要人工进行确认、优化、加白。

人工确认误报耗时耗力，且需要跨部门协调。因此，企业在实施UEBA时，需要建立持续运营机制，确保能够及时处理误报。

比如，可以建立黑白名单，减少常规漏洞扫描、渗透测试对基线的影响，正常的业务行为也可能导致UEBA产生误报。因此，企业需定期对UEBA模型进行评估，并根据评估结果进行优化。通过持续运营，企业可以不断提高UEBA的检测准确性，降低误报，从而提升UEBA的安全价值。

典型案例分析

小区门口小广告引发的UEBA场景，能实现吗？

笔者曾合作过一个能源行业客户，想通过UEBA来发现报装天然气单据丢失的场景，结果就是无法达到预期效果，我们来分析下原因。

现状问题：

咱们自己家的天然气报装一般可以通过打电话给燃气公司或者是在网上/APP上进行申报，填写完相关信息后会有后端运维人员联系确认时间进行上门安装并收取一定费用。但是，燃气公司发现有的客户上门后反馈已经装完了，这样就对燃气公司的经济利益造成了损害，客户希望可以通过技术手段发现是哪个环节、哪个人泄漏了报装信息。

解决方案：

根据以上背景，我们和相关业务人员了解了整个报装的业务流程，并且采集了所需的相关业务系统日志，制定了一系列的基线和检测规则，包括话务员在录入系统时是否存在复制粘贴动作、敏感数据外发行为、系统录入页面停留时间等。

问题解析：

1. 没有合理的预期，对UEBA期望过高，没有考虑可执行性；

2. 缺乏高质量的数据，前期业务系统较为老旧，无法外发日志，同时会给业务系统带来很大的压力，退而求其次，接入测试系统的日志，但是只是一部分非全量日志；

3. 规则和模型很难去检测类似场景，因为业务人员没有控制权限，可以随意查看和操作其他区域的报装单信息；数据泄漏的途径复杂，可以通过手机拍照、手抄信息记录报装信息，而这些行为都是没有日志的。

4. 缺乏持续的运营，建立持续的运营基础是有能力去分析研判是否是真实有效的告警，但因为本项目建设方是信息部门，需要去协调业务部门确认人员是否是异常，带来了很大的难度，导致无法有效调整基线、模型。

看某股份制银行如何步步为赢，实现合规分析、异常行为检测和数据安全管控场景

某股份制银行是一家国有控股的全国性股份制商业银行，其中数据中心安全组作为企业内部网络安全的守护组织。金融数字化转型带来了新兴安全风险、更严格的监管要求和数据隐私保护等挑战。面对内部风控场景，企业希望通过用户实体行为分析（UEBA）实现内部用户的合规分析、异常行为检测和数据安全管控场景。经过三期的分期建设，企业成功建立了对内部用户、行为等属性的综合场景监测和行为基线偏离预警，提升了企业对合规分析、异常行为检测、数据安全等安全内控场景的风险识别和防控能力。接下来我们看看此项目取得良好效果的关键因素有哪些？

a. 知己知彼，百战不殆

知己：客户当时的痛点主要是违规操作、运维风险、异常行为、数据安全场景，比如异常时间点或异常地点登录VPN账号、下载的数据文件发送给没有权限的人员、人员代打卡等行为。

知彼：客户调研并测试了多个厂家的产品，通过从产品功能、性能、易用性、可靠性、测试效果、落地案例、服务等方面综合考虑，确定与日志易深度合作。

关键词：需求明确，合适的产品

b. 磨刀不误砍柴工，数据治理很重要

根据需求场景确定数据源，日志易SIEM平台接入工单系统、VPN、AD、终端管理系统、运维数据查询平台、堡垒机、门禁、邮件等设备日志，并且利用SIEM进行了数据标准化治理，因此我们经常提数据采集和解析是SIEM平台的基础能力，基本上市面上大多数SIEM产品都支持。

但是，能否支持多种协议采集不同数据源日志，解析进来后能否有默认的解析规则实现开箱即用，或者是产品足够灵活，默认解析规则不支持的数据源可由现场交付工程师或者客户配置快速接入。笔者曾经遇到很多厂商产品都支持，但是综合考虑到人力成本、时间成本等情况，厂商最终拒绝接入也是常有的事情。

关键词：高质量数据，数据标准化

c. 稳扎稳打，方能行稳致远

经过一期建设基础平台打基础，二期开发定制场景，三期扩展深化场景，经过客户与厂商的强强联合，目前已上线百余个深度关联客户业务的场景，包含账号使用异常、内部威胁、数据泄漏等方面，实际效果得到了客户认可，真正发挥出了价值。

关键词：分期建设，持续运营

总结

UEBA是一项复杂的技术，需要企业从技术、管理、运营等多方面进行综合考虑，同时重点关注1个前提5个关键措施，只有这样才能确保UEBA有效落地，发挥其应有的价值。