產品通知
UEBA 現在是 Splunk Enterprise Security 的內建功能
Splunk Enterprise Security (ES) 透過統一的 SecOps 平台為客戶帶來全新體驗—與代理式 AI、SOAR、UEBA 和 SIEM 無縫整合。
安全性
User and Entity Behavior Analytics (UEBA)
透過使用者和實體行為分析來抵禦未知威脅。
主動識別並緩解內部威脅
UEBA 使用基於行為的異常偵測和機器學習來偵測使用者和實體行為中的細微偏差,進而能夠及早識別和消除內部威脅,例如帳戶濫用、憑證外洩和橫向移動。
利用使用者和實體風險情報增強安全性可見度
透過彙集和關聯使用者、裝置和應用程式的行為資料,UEBA 開發實體風險評分,提供整體風險見解和情境智慧,使安全團隊具備態勢感知能力,進而優先處理並有效應對新出現的威脅。
透過自動化威脅偵測和優先排序,最佳化 SOC 效率
UEBA 透過過濾雜訊、自動化威脅評分和優先排序來減少警示疲勞,進而簡化 SOC 工作流程。這使分析師專注於最關鍵的風險,以便更快速、更精確地進行調查和事件回應。
功能
揭露最複雜的威脅
行為分析與機器學習
UEBA 不斷學習並建立正常使用者和實體行為的基準,以偵測顯示內部威脅和先進攻擊的細微偏差。這種適應性機器學習能揭曉傳統規則工具所忽略的隱藏風險,進而實現主動威脅檢測。
實體風險評分和彙總
將來自多個來源的風險訊號彙總為每個使用者或實體的單一、可操作的風險評分。動態評分有效地優先處理威脅,減少警示疲勞,幫助 SOC 團隊專注於最關鍵的風險。
多實體關聯
透過串連使用者、裝置、端點和雲端應用程式的行為,偵測橫向移動和特權濫用等複雜攻擊模式,進而發現橫跨多個系統的進階威脅。
具有情境智慧的即時風險見解
為分析師提供豐富的警示中繼資料、同儕群組比較和歷史行為背景,以提升情境感知能力。利用威脅時間線和風險熱圖等視覺化工具,推動更快速、更有信心的決策。
自動化威脅偵測與優先級排序
利用多種機器學習模型持續監控及偵測新興威脅,無需手動介入。自動化優先排序根據風險等級排列安全事件,簡化 SOC 工作流程並加速事件回應。
與 Splunk Enterprise Security 順暢整合
UEBA 原生整合至 Splunk 的安全生態系統,以統一偵測、調查與回應工作流程。此整合將 UEBA 的行為見解與 SIEM 的關聯規則結合起來,集中事件檢視並提升 SOC 的效率。
