当前很多攻击都以失陷用户或失陷主机为跳板,在内部横向移动,并最终破坏关键目标,或将敏感信息外泄。现有威胁检测能力显著不足。要更好检测威胁,不仅需要传统的以实体为中心的检测,更需要以用户为中心的检测。

CyberSky-UEBA用户与实体行为分析系统为分析师提供用户视角(包括系统账号和自然人)的安全分析和实体视角(包括IP、主机、攻击者、位置、攻击方式等)的安全分析能力。系统既有传统的基于规则的分析算法,更有先进的基于机器学习的分析算法,通过异常行为检测手段去识别未知威胁和攻击,尤其是内网中的威胁行为。

先进的用户与实体行为分析引擎
  • 基于大数据的分布式行为分析架构,轻松应对海量行为日志分析场景
  • 可以针对历史数据进行批次分析,也可以进行持续分析
  • 无需先验规则,依靠机器学习自动发现异常,知所未知
  • 支持三种行为轮廓建模:个体模式、群组对照模式、个体群组复合模式
  • 综合多种机器学习算法的行为异常判定过程
用户画像与异常判定
  • 多手段用户识别与会话生成
  • 基于用户情境信息的日志增强
  • 具备反馈回路的用户异常行为评分
  • 用户行为轨迹分析
异常行为调查
  • 针对异常用户可以调出行为轨迹
  • 根据用户行为轨迹可以钻取相关安全事件,寻找和固定相关证据
  • 可以通过实体行为日历查看异常行为,并进行多层数据下钻和可视化
版权所有 @ 2018北京盛华安信息技术有限公司 京ICP备16040099号-1