北信源用户实体行为分析(UEBA)系统建设的总体目标是将实体行为数据、数据窃泄密场景、机器学习算法及大数据技术的结合,对敏感数据资源的使用行为进行实时监控,实现“行为审计、数据窃泄密行为预警、可疑对象行为追溯和画像调查分析,多渠道响应处置”的业务管理闭环,全方面提升用户敏感数据的防护能力
基于几十种信息泄漏场景通过北信源终端代理程序对终端行为进行全面审计,包括B/S应用、应用程序操作、文件操作、运维工具操作、数据访问工具操作、即时通讯等。
基于窃泄密的场景对采集的行为数据进行特征提取和行为指标建模。基于构建的行为指标体系,对人员日常的行为进行刻画,构建实体画像。采用机器学习算法进行历史基线、群体基线回归及离群分析,有效检测隐蔽的安全事件。
告警中心引入实时分析及工作流引擎、分析算子、业务处理函数,内置业务应用数据泄漏风险、运维操作风险、敏感文件盗取风险、业务账号盗取风险四大类告警规则。具备高度灵活性,支持高度灵活性自定义告警和处置逻辑。处置中心支持短信提醒、邮件提醒、忽略、加白名、终端联动处置等多种处置手段。
通过异常行为分析发现可疑设备(用户)后,从可疑设备出发,查看设备基本信息,探索此设备的具体行为,还原设备访问应用、下载敏感文件、打印敏感文件等行为信息。帮助用户溯源及分析泄漏事件影响。
针对业务要求,需要重点监控人员或终端,平台提供了监控取证功能,该功能可以有效的对特定的设备或者人员进行实时监控,提供相应的取证图片或录屏视频文件。为管理者查找可疑人员提供更有力的证据。
根据不同区域、部门对人员访问应用情况进行多维度统计分析,形成单位通报报告及综合安全汇报报表。提供的异常人员分析报告有效地提升了管理效率,使得管理者对人员违规行为,日常规范等做到了有据可查,及时处理因违规出现的数据泄露问题。
内部威胁检测能力:身份可能窃取,行为难以模仿。UEBA跳出传统基于专家规则、特征签名、人工分析的途径,基于用户行为模式进行分析,有效弥补了传统边界防护的不足。
未知威胁检测能力:UEBA可以在大数据量和复杂行为模式中识别细微的异常,动态适应用户行为变化,及时检测未知威胁。
安全事件响应处置能力:UEBA具备实时监控和响应能力,可在威胁活动演变为安全事件前识别并阻止。同时提供短信、邮件、工单、终端联动处置等多重灵活的响应手段,满足不同威胁级别的处置需求。
事件溯源分析能力:提供日志集中审计、知识图谱探索和视频取证工具,赋能政企安全事件溯源能力。
