产品公告
UEBA 现在是 Splunk Enterprise Security 中的一个原生功能
Splunk Enterprise Security (ES) 通过统一的 SecOps 平台(与智能 AI、SOAR、UEBA 和 SIEM 无缝集成)为客户带来全新体验。
security
用户和实体行为分析 (UEBA)
通过用户和实体行为分析防范未知威胁。
主动识别和缓解内部威胁
UEBA 使用基于行为的异常检测和机器学习来检测用户和实体行为中的细微偏差,从而能够及早识别和消除内部威胁,例如账户滥用、凭证泄露和横向移动。
通过用户和实体风险情报提升安全可见性
通过对用户、设备和应用程序的行为数据进行汇总和关联,UEBA 开发实体风险评分,提供整体风险洞察力和上下文情报,使安全团队具备态势感知能力,能够对新出现的威胁进行优先排序和有效应对。
通过自动化的威胁检测和优先级排序,最大限度地提高 SOC 效率
UEBA 可过滤噪音,自动进行威胁评分和优先级排序,简化 SOC 工作流程,从而减少警报疲劳。这使分析人员能够专注于最关键的风险,从而更快、更精确地进行调查和事件响应。
功能
揭示最复杂的威胁
行为分析和机器学习
UEBA 不断学习并建立正常用户和实体行为的基准,以检测表明内部威胁和高级攻击的细微偏差。这种自适应机器学习能够发现传统基于规则的工具所忽略的隐藏风险,从而实现主动威胁检测。
实体风险评分和汇总
将来自多个来源的风险信号汇总为每个用户或实体的单一、可操作的风险评分。动态评分可有效确定威胁的优先级,减少警报疲劳,帮助 SOC 团队专注于最关键的风险。
多实体关联
通过关联用户、设备、端点和云应用程序的行为,发现跨多个系统的复杂威胁,以检测横向移动和权限滥用等复杂攻击模式。
通过情境智能获取实时风险洞察
为分析师提供丰富的警报元数据、对等组比较和历史行为背景,以增强态势感知能力。利用威胁时间线和风险热图等可视化手段,更快、更自信地做出决策。
自动化的威胁检测和优先级排序
利用多种机器学习模型持续监控和检测新出现的威胁,无需人工干预。自动化优先级排序根据风险等级对安全事件进行排序,简化 SOC 工作流程并加速事件响应。
与 Splunk Enterprise Security 无缝集成
UEBA 原生集成了 Splunk 的安全生态系统,以统一检测、调查和响应工作流。这种集成通过将 UEBA 的行为洞察力与 SIEM 相关规则相结合,集中了事件视图并提高了 SOC 的效率。
