用户行为分析系统

用户行为分析系统(UBA)用来解决愈演愈烈的内部威胁问题。UBA以用户视角将多种数据关联和丰富起来,持续跟踪并进行风险预警;内置多种数据模型和策略(支持自定义),以及综合模式匹配、基线学习、机器学习等多种分析方法,帮助客户提高工作效率、防范信息泄露、避免商业欺诈、增强服务质量。

联系我们

产品亮点

  1. 操作简易化

    系统内置超过40种规则,接入数据后即可发现高风险用户,快速检测和定位攻击行为,同时不影响业务。UBA能够长时间持续对用户的异常行为进行记录、累计和学习,并逐步提高准确率,同时也支持管理员根据实际需求自定义分析规则或改进规则,最终将可视化结果进行呈现。

  2. 多种类算法

    UBA使用多种基于统计模型的组合匹配,提供监督和非监督的机器学习方法进行异常检测,支持基线算法,支持上下文感知和内容感知,通过上述方法来定义用户行为,识别异常用户活动,提供恶意或不满的员工的前兆指标。

  3. 高质量告警

    UBA直接提供以“人”的视角给出的判定结果,让管理员能够快速理解和定位“坏”人背后的行为,并评估和标记产生异常行为的证据,通过基于人类反馈的模型调整,能够逐步优化模型,削减告警数量,提升告警质量,减少误报率,提升监控效率,让管理员能关注重点并优先处理。

  4. 数据预挖掘

    客户可根据自己对业务的理解、想法和假设,自己设计规则,构建模型,若对于这些假设存在不确定性,此时可对历史数据进行模型运算,得到相应结果后对模型逐步调优,同时不会污染已有的结果。

  5. 协同防御能力

    UBA提供数据提取、数据关联和数据丰富,利用基于大数据的安全分析技术对来自多种维度的数据进行学习和分析,构建基于用户、事件、时间和会话的聚类信息,深入挖掘有价值的信息,对未知安全威胁做到提前响应,降低风险,实现单一安全产品无法提供的安全防护。

产品功能

  • 日志接入,汇聚多方信息

    支持Syslog、JSON等多种结构化日志的接入和非结构化数据的接入,并具备数据清洗、变换和语义丰富的能力。

    可快速同步AD域账号信息,配置简单,自动更新。

    智能关联日志信息,自动化进行上下文信息的提取。

    支持对日志进行长期归档、查询和统计。

  • 策略配置,易用灵活多样

    通用的策略规则配置方式,可对日志的任意域定义规则。

    超过二十余种运算规则,支持时间、数值、字符、IP等格式的匹配,还可配置统计及频度模型。

    支持通过机器学习建立基线并检测基线异常,客户可参与评估和反馈。

    策略事件的日志记录信息可根据客户需求进行定制。

    支持策略事件分值和工作职能的关联,基于不同职能同样数据根据优先级会有不同的期望结果。

  • 员工分析,摸清员工动向

    基于风险指数对员工进行划分,一目了然给出所有员工的风险级别分布。

    能够通过指数、事件、时间等条件迅速定位高风险员工,并可对高风险员工进行标记,支持隐私管理。

    通过对员工违规事件的时间序列和趋势分析,能够了解员工行为规律,会在哪些时间段出现违规行为。

    支持记录、展示员工的所有违规行为,作为事后证据留存,做到有的放矢。

  • 事件分析,洞悉网络事件

    监控和分析员工违反正常使用网络或与标准不符的行为。

    监控和分析员工的不正常、恶意的或者误用的应用程序,防止数据外泄。

    能够利用异常检测和大数据分析得到异常事件,并进行告警。

    快速分析出其他安全管理系统无法察觉的“坏”行为,降低误报率,提升告警质量,提高人工响应效率。

使用场景

  • 规模较大的企业用户

  • 客户问题:

    客户部署了种类较多的内网及边界安全设备,但是每个边界设备只能解决一类问题。

    各个设备提供了查询和统计需求,但是各设备都不具备基于大数据的算法。

    各设备通过AD服务器同步用户信息,但是在单一设备上,只能查询用户在该设备的日志。

    整个企业人员众多,对于网络的使用情况无从知晓,用户的行为和工作效率难以保障。

    企业的内网设备、应用等实体也可能存在内部威胁,单一的设备无法有效的发现内部威胁。

  • 解决之道:

    将各设备的相关数据统一汇聚到UBA中进行用户关联、归档和查询统计。

    对用户的各类网络行为数据关联到每个员工,提供基于职能的统一化的评价体系。

    长期的累计数据参与模型运算,通过机器学习方法自动进行异常检测和模型优化。

    提供强大可视化界面,帮助用户发现滥用、违规、数据泄露等安全事件。

产品白皮书下载