User and Entity Behavior Analytics
Was ist User and Entity Behavior Analytics (UEBA)?
User and Entity Behavior Analytics (UEBA) ist ein Sicherheitsansatz, bei dem das Verhalten von Benutzern und Systemen (Entities) kontinuierlich überwacht wird, um Anomalien und potenzielle Sicherheitsbedrohungen frühzeitig zu erkennen. UEBA-Systeme erfassen und analysieren große Mengen an Telemetriedaten von:
-
Benutzern (Login-Zeiten, Dateiaktivitäten)
-
Endpunkten (Clients, Server)
-
Netzwerkkomponenten (Router, Firewalls, Switches)
-
Anwendungen (Cloud- und On-Premises-Umgebungen)
Mithilfe von Machine-Learning-Algorithmen erstellt UEBA ein Baseline-Verhaltensmuster für jede Entität. Abweichungen – etwa ungewöhnliche Anmeldezeiten, exzessive Dateiübertragungen oder verdächtige Zugriffe auf kritische Systeme – werden als potenzielle Indikatoren für:
-
kompromittierte Konten (Account Takeover)
-
Insider-Bedrohungen
-
Advanced Persistent Threats (APT) erkannt.
UEBA-Systeme werden typischerweise als Erweiterung von SIEM-Plattformen eingesetzt, um durch kontextbasierte Risikoanalysen eine präzisere Alarmierung und bessere Priorisierung von Incidents zu ermöglichen.
Anwendung in der Praxis
Ein Finanzdienstleister integriert eine UEBA-Lösung in seine bestehende SIEM-Infrastruktur. Die Plattform erkennt, dass ein Mitarbeiter außerhalb seiner üblichen Arbeitszeiten tausende sensible Dateien herunterlädt. Gleichzeitig wird ein ungewöhnlicher Login-Versuch von einem ausländischen Standort registriert. Durch die Kombination beider Anomalien stuft das System den Vorfall als kritischen Insider- oder Account-Compromise ein. Die automatisierte Reaktion blockiert den Zugriff und benachrichtigt das Incident-Response-Team.