產品通知
UEBA 現在是 Splunk Enterprise Security 的內建功能
Splunk Enterprise Security (ES) 透過統一的 SecOps 平台為客戶帶來全新體驗—與代理式 AI、SOAR、UEBA 和 SIEM 無縫整合。
安全性
User and Entity Behavior Analytics (UEBA)
透過使用者和實體行為分析來抵禦未知威脅。
主動識別並緩解內部威脅
UEBA 使用基於行為的異常偵測和機器學習來偵測使用者和實體行為中的細微偏差,進而能夠及早識別和消除內部威脅,例如帳戶濫用、憑證外洩和橫向移動。
利用使用者和實體風險情報增強安全性可見度
透過彙集和關聯使用者、裝置和應用程式的行為資料,UEBA 開發實體風險評分,提供整體風險見解和情境智慧,使安全團隊具備態勢感知能力,進而優先處理並有效應對新出現的威脅。
透過自動化威脅偵測和優先排序,最佳化 SOC 效率
UEBA 透過過濾雜訊、自動化威脅評分和優先排序來減少警示疲勞,進而簡化 SOC 工作流程。這使分析師專注於最關鍵的風險,以便更快速、更精確地進行調查和事件回應。
功能
揭露最複雜的威脅
行為分析與機器學習
UEBA 不斷學習並建立正常使用者和實體行為的基準,以偵測顯示內部威脅和先進攻擊的細微偏差。這種適應性機器學習能揭曉傳統規則工具所忽略的隱藏風險,進而實現主動威脅檢測。
實體風險評分和彙總
將來自多個來源的風險訊號彙總為每個使用者或實體的單一、可操作的風險評分。動態評分有效地優先處理威脅,減少警示疲勞,幫助 SOC 團隊專注於最關鍵的風險。
多實體關聯
透過串連使用者、裝置、端點和雲端應用程式的行為,偵測橫向移動和特權濫用等複雜攻擊模式,進而發現橫跨多個系統的進階威脅。
具有情境智慧的即時風險見解
為分析師提供豐富的警示中繼資料、同儕群組比較和歷史行為背景,以提升情境感知能力。利用威脅時間線和風險熱圖等視覺化工具,推動更快速、更有信心的決策。
自動化威脅偵測與優先級排序
利用多種機器學習模型持續監控及偵測新興威脅,無需手動介入。自動化優先排序根據風險等級排列安全事件,簡化 SOC 工作流程並加速事件回應。
與 Splunk Enterprise Security 順暢整合
UEBA 原生整合至 Splunk 的安全生態系統,以統一偵測、調查與回應工作流程。此整合將 UEBA 的行為見解與 SIEM 的關聯規則結合起來,集中事件檢視並提升 SOC 的效率。
資源
深入探索 Splunk
UEBA 常見問答
使用者和實體行為分析 (UEBA) 利用機器學習分析使用者、裝置與應用程式的行為,以偵測不尋常或異常活動。這類活動可能代表內部威脅、帳戶遭入侵、橫向移動、資料洩漏等進階威脅。UEBA 建立行為基準,而且可找出偏差,以提供可行的安全性深入解析、減少警示疲勞。UEBA 透過強大的背景資訊分析能力與即時風險評分,來簡化調查,提升 SOC 效率。
UEBA 已原生整合至 Splunk Enterprise Security (ES) 高階版。彙總不同使用者、裝置、雲端應用程式與安全性層級的風險,提供以使用者為中心的全面風險評分。UEBA 整合功能可在 Splunk ES 平台上提供集中式事件檢視、更完整的警報背景資訊與端對端調查工作流程,以強化威脅偵測、調查與回應功能。
UEBA 是 Splunk Enterprise Security 高階版的其中一項功能,並非獨立產品或 Splunk Enterprise Security Essentials 的附加元件。若對 UEBA 感興趣,請購買或升級至 ES 高階版,以存取進階行為分析功能。
UEBA 可偵測眾多內部與進階威脅,包含遭入侵的使用者帳號 (認證遭竊或未授權使用)、帳戶不當使用 (無心或蓄意濫用權限)、系統間橫向移動,以及透過雲端儲存空間、USB、電子郵件與網路途徑的資料洩漏、惡意軟體感染的裝置,和偏離既定基準的未知或可疑行為。
Splunk UBA (使用者行為分析) 是舊版的獨立產品,已和 Splunk ES 整合,但需要個別管理,而且工作流程獨立。Splunk UBA 已在 2025 年 12 月停止販售,並將於 2027 年 1 月終止支援。相較之下,UEBA 原生內建於 Splunk ES 高階版,能提供未監督的進階機器學習、可監控、分析更多行為 (包含使用者、裝置、雲端與應用程式)、即時風險評分和整合式調查工作流程。UEBA 的安全性作業體驗,更統一、有效率又強大。
