UEBA

3 февраля, 2026, 16:55

Анализ поведения пользователей и сущностей (UEBA – User and Entity Behavior Analytics, Аналитика поведения пользователей и сущностей) — это технология кибербезопасности, использующая машинное обучение, статистическое моделирование и анализ больших данных для выявления аномальной и потенциально вредоносной активности пользователей, приложений, устройств и других сущностей в корпоративной среде. UEBA фокусируется не на сигнатурах или известных угрозах, а на отклонениях от нормальных поведенческих шаблонов, что позволяет обнаруживать сложные, целенаправленные и инсайдерские угрозы.

Возможности UEBA:

  • Базовое профилирование поведения: Автоматическое создание поведенческих профилей для каждого пользователя и сущности на основе исторических данных о действиях (время и место входа, используемые ресурсы, объём передаваемых данных, типичные команды).
  • Выявление аномалий: Обнаружение отклонений от установленных базовых профилей, например: вход в систему из необычной страны, доступ к нехарактерным для роли данным, аномально большой объём скачиваемых файлов, активность в нерабочее время.
  • Обнаружение инсайдерских угроз: Выявление злонамеренных или небрежных действий сотрудников, включая кражу данных, саботаж или непреднамеренные нарушения политик безопасности.
  • Корреляция событий и построение цепочек: Связывание разрозненных аномальных событий в единую последовательность, чтобы выявить сложную многоэтапную атаку (например, скомпрометированная учётная запись используется для перемещения по сети и кражи данных).
  • Интеграция с источниками данных: Сбор и анализ данных из множества источников: журналов аутентификации (Active Directory, VPN), сетевых логов, данных от EDR и SIEM, активности в облачных сервисах (Office 365, Salesforce), приложений и баз данных.
  • Оценка риска и приоритизация: Присвоение рейтинга риска пользователям и сущностям на основе серьёзности и частоты аномалий, что помогает аналитикам сосредоточиться на наиболее критичных угрозах.
  • Автоматическое оповещение: Генерация предупреждений о подозрительной активности для дальнейшего расследования.

UEBA является эволюцией более ранней технологии UBA (User Behavior Analytics), расширяя анализ не только на пользователей, но и на все типы сущностей (хосты, приложения, сетевые устройства, учётные записи служб). Эта технология критически важна для обнаружения угроз, которые обходят традиционные сигнатурные средства защиты, таких как APT-атаки или действия инсайдеров. Современные UEBA-решения часто встраиваются в крупные платформы безопасности, такие как SIEM (например, Splunk UBA, Microsoft Sentinel) или XDR, или предлагаются как облачные сервисы. Эффективность UEBA напрямую зависит от качества и объёма собираемых данных, а также от точности алгоритмов машинного обучения, которые должны адаптироваться к изменениям нормального поведения (например, переход на удалённую работу).

Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Упоминания