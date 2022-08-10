UEBA 可帮助公司识别可疑行为，并强化数据丢失预防 (DLP) 工作。除了这些策略用途之外，UEBA 还可以用于更具战略性的目的，例如证明遵守用户数据和隐私保护的相关法规。

策略用例

恶意内部人员：这些人员具备公司网络的授权，甚至是访问特权，并试图发动网络攻击。仅靠数据（如日志文件或事件记录）并不能总是能发现这些人员，但高级分析可以。由于 UEBA 提供针对特定用户（而不是 IP 地址）的洞察，因此可以识别违反安全策略的单个用户。

遭到入侵的内部人员：这些攻击者通过网络钓鱼计划、暴力攻击或其他方式获得对授权用户或设备凭据的访问权限。典型的安全工具可能不能发现他们，因为使用合法的（尽管是被盗的）凭据的攻击者显得像是已获得授权一样。一旦进入，这些攻击者就会进行横向移动，在整个网络中移动并获取新的凭据，以提升其权限并访问更敏感的资产。尽管这些攻击者可能会使用合法凭据，但 UEBA 可以发现他们的异常行为，从而帮助阻止攻击。

遭到入侵的实体：许多组织，尤其是制造商和医院，会使用大量互联设备，如 IoT 设备，且通常几乎没有安全配置。由于缺乏保护，这些实体成为黑客的主要目标，他们可能会劫持这些设备来访问敏感数据源、中断运营或实施分布式拒绝服务 (DDoS) 攻击。UEBA 可以帮助识别表明这些实体已遭到入侵的行为，从而可以在威胁升级之前将其解决。

数据渗漏：内部威胁和恶意行为者经常试图从遭到入侵的服务器、计算机或其他设备中窃取个人数据、知识产权或业务战略文档。UEBA 通过提醒安全团队异常的下载和数据访问模式，帮助团队实时发现数据泄露。

战略用例

实施零信任安全方法：零信任安全方法是一种永不信任并持续验证所有用户或实体的方法，无论这些用户或实体是在网络外部还是已经在网络内部。具体而言，零信任要求所有用户和实体在获得应用程序和数据的访问权限之前必须经过身份认证、授权和验证，随后不断进行重新身份认证、重新授权和重新验证，以便在整个会话中保持或扩展访问权限。

有效的零信任架构需要最大限度地了解网络上的所有用户、设备、资产和实体。UEBA 针对所有最终用户和实体活动，为安全分析师提供了丰富实时的可见性，包括哪些设备正在尝试连接到网络、哪些用户试图超越权限等等。

GDPR 合规：欧盟的《通用数据保护条例》(GDPR) 对组织提出了保护敏感数据的严格要求。根据 GDPR，公司必须跟踪哪些个人数据被访问、由谁访问、如何使用以及何时删除。UEBA 工具可以通过监控用户行为及其访问的敏感数据来帮助公司遵守 GDRP。