UEBA-行为模式

登录和访问模式：

分析用户的登录和访问模式，包括登录时间、登录位置、登录设备、访问频率和访问的资源等。通过对正常登录和访问模式的学习，可以检测到异常的登录和访问行为，如异地登录、非常规时间访问等。

数据使用模式：

分析用户对数据的使用模式，包括文件的查看、下载、上传、共享等操作。通过对正常的数据使用模式的学习，可以检测到异常的数据操作行为，如大量下载、未经授权的数据共享等。

命令和行为序列模式：

分析用户在系统中的命令和行为序列模式，包括特定的操作顺序和频率。通过对正常的命令和行为序列模式的学习，可以检测到异常的命令和行为序列，如特定的攻击行为或未经授权的特权操作

还有其他相关的模式可做参考：

时间模式：UEBA系统可以分析用户或实体的行为在时间上的模式，包括工作时间、休息时间、活动周期等。异常的时间模式，如在非工作时间的活动、异常的活动周期等，可能暗示着异常或可疑的行为。

通信模式：UEBA系统可以分析用户或实体的通信模式，包括电子邮件、即时消息、社交媒体等的通信行为。异常的通信模式，如与不寻常的联系人进行频繁通信、异常的通信内容等，可能涉及信息泄露或非法交流。

地理位置模式：UEBA系统可以分析用户或实体的地理位置模式，包括登录位置、访问位置等。异常的地理位置模式，如异地登录或非常规的访问位置，可能表示潜在的风险。

命令模式：用户的命令模式指的是用户在系统中的命令行操作行为。这包括用户执行的命令、命令的参数、命令的频率等。通过分析用户的命令模式，可以检测到异常的命令行操作，如执行了敏感命令、频繁执行异常命令等。

序列模式：用户的序列模式指的是用户在系统中的操作序列行为。这包括用户在系统中执行的一系列操作，如文件操作的序列、数据库操作的序列等。通过分析用户的序列模式，可以发现与正常操作序列不符的异常行为，如异常的文件操作序列、异常的数据库操作序列等。

通信模式：用户的通信模式指的是用户在系统中的通信行为，包括电子邮件、即时消息、社交媒体等的通信。这包括用户与其他用户或实体之间的通信频率、通信内容、通信对象等。通过分析用户的通信模式，可以识别出异常的通信行为，如与不寻常的联系人进行频繁通信、异常的通信内容等。

日志数据类型

用户行为数据：

登录日志：包括用户登录的时间、IP地址、设备信息等。
操作记录：记录用户在系统中的各种操作，例如文件访问、应用程序使用、命令执行等。
网络流量数据：包括网络连接、传输数据量、通信协议等信息。
邮件和消息记录：包括电子邮件、即时消息或其他通信工具的发送和接收记录。
文件访问记录：记录用户对文件或目录的访问、修改和删除操作。
实体行为数据：

设备日志：记录设备的运行状态、事件和错误信息。
应用程序日志：记录应用程序的运行日志、异常事件和错误信息。
数据库访问日志：记录对数据库的查询、更新和访问操作。
传感器数据：例如物联网设备产生的温度、湿度、光照等传感器数据。
网络设备日志：记录网络设备的事件、流量和连接信息。
上下文数据：

时间戳：记录事件发生的时间，可以用于分析行为的时间模式。
地理位置信息：例如用户登录的地理位置、设备的地理位置等。
用户属性：包括用户的角色、部门、权限级别等。
设备属性：例如设备类型、操作系统版本、硬件配置等。
应用程序属性：例如应用程序版本、配置参数、访问权限等。
这些数据源可以结合使用，以提供更全面的行为分析和异常检测。具体使用哪些数据源取决于系统的部署环境、可用的数据和分析需求

用户和实体基线特征属性边界

用户行为基线的特征：

登录模式：用户的登录时间、登录位置、登录设备等信息。
活动模式：用户在系统中的活动频率、活动时间段、常用功能和操作等。
文件操作：用户对文件的访问、创建、修改、删除等操作。
网络活动：用户的网络连接模式、访问的网站和应用程序、传输的数据量等。
权限使用：用户对系统资源和数据的访问权限的使用情况。
异常行为：用户的异常登录、异常活动模式、异常权限使用等。
实体行为基线的特征：

网络连接：实体的网络连接模式、连接的远程主机、连接的端口等信息。
数据传输：实体的数据传输量、传输的数据类型、传输的目的地等。
资源使用：实体的系统资源使用情况，如CPU利用率、内存使用情况、磁盘IO等。
应用程序行为：实体的应用程序使用模式、应用程序的API调用、数据库访问模式等。
安全事件：实体相关的安全事件，如入侵尝试、恶意软件感染等。
异常行为：实体的异常网络连接、异常数据传输、异常资源使用等。