前言
为了应对不断创新的网络攻击手段、更好地保护企业的数据安全,用户和实体行为分析(UEBA)技术应运而生,它通过收集和分析来自各种来源的数据全面分析和检测内部人员的可疑行为,并提供行为基准、集成威胁情报和补救工作流程等功能。虽然UEBA这个安全类别的落地应用形态各异,但几项关键功能在整个行业具有高度的一致性,主要包括:
01监测分析
企业必须监测安全基础设施中的网络、设备和应用程序。UEBA工具不断观察IT系统,并在网络流量和设备或应用程序的行为与预先配置的标准不一致时通知管理员。同时,利用机器学习识别用户行为,以确定它们是否符合典型操作的预定标准。如果UEBA工具确定用户的异常行为很危险,它会在仪表板上高亮显示该模式,供安全管理员查看。
02确定警报的优先级
出现足够严重的异常时,UEBA工具会触发警报。由于这类工具长期研究典型的用户和应用程序模式,意外情况发生时它们会留意到。UEBA工具常确定警报的优先级——对风险级别进行排序,这样IT和安全人员可以决定优先处理哪个风险。
03管理用户行为
UEBA解决方案监测用户权限,并确定特定用户的行为是否与分配给他们的权限相冲突。这有助于减少特权访问滥用,还可以暴露恶意的内部活动。UEBA解决方案还经常监测实体或资产(比如笔记本电脑或服务器),以确定它们的行为是否异常,是否需要隔离或关闭。
04高级威胁识别
当UEBA工具监测系统并注意到异常时,它们通常会确定发生了什么类型的问题。这些威胁包括横向移动和数据泄露,UEBA解决方案还可以告诉用户威胁来自企业内部还是外部。这些信息对于帮助应对威胁攻击者非常有用,特别是当他们是内部员工时。
随着网络技术发展加快,攻击技术和恶意内部活动在越来越趋于隐蔽的同时,也呈现出多样化态势。因此,要真正实现用户行为全过程解析并不容易,企业用户需要进一步加强对UEBA技术的研究,并部署应用具有较高处理效率与检测质量的UEBA工具。本文收集整理了7款较热门的UEBA解决方案(详见下表),并对其应用特点进行了分析。
1、Rapid7 InsightIDR
Rapid7 InsightIDR是集SIEM和XDR功能于一体的威胁检测平台,可以持续参考正常的用户行为基线,查找已定义的攻陷指标。它旨在检测难以发现的威胁,比如冒充公司员工的攻击者或恶意内部人员企图泄露数据的活动。如果企业正在寻找一款综合的威胁防护安全解决方案,InsightIDR将是不错的选择,因为丰富的功能和出色的管理能力使其成为综合表现完善的整体UEBA应用方案。
主要特点 •将行为活动自动关联:InsightIDR能够将客户网络上的事件与这些事件背后的特定用户和实体关联起来。 •用户活动基准:该解决方案适应网络上的用户和实体,可以持续定义正常的活动行为。 •观察列表:通过InsightIDR仪表板监测,可以发现并重点关注可能构成高风险的用户。 •错误配置检测:InsightIDR使用可视化日志搜索和预构建合规卡来检测异常。
传送门:https://www.rapid7.com/products/insightidr/
2、Microsoft Sentine
Microsoft Sentinel是一款云化的SIEM解决方案,同时也提供了可靠的UEBA功能。功能特性包括事件优先级确定、行为分类和事件时间轴管理等。除了这些功能之外,Sentinel还可以与微软的XDR产品Defender整合,是Azure云客户的理想选择之一。
主要特点 •广泛的数据收集能力:Sentinel可以从本地和多个云中的所有用户、设备、应用程序和基础设施提取行为相关的信息。 •横向移动检测:当Sentinel标记出可疑行为后,安全团队可以通过该方案查看到应用程序或服务之间潜在的横向移动情况。 •基于AI的威胁调查:相比手动搜索威胁,Sentinel具有强大的人工智能能力,可以帮助用户更快地探索威胁和寻找奇怪的行为。 •没有查询限制:由于是云原生工具,Sentinel避免了一些可能阻碍本地系统保护企业的资源限制。
传送门:https://azure.microsoft.com/en-us/products/microsoft-sentinel
3、FortiSIEM
FortiSIEM是由网络安全厂商飞塔设计研发的综合性SIEM产品,其整合的UEBA功能全面包括了内部威胁识别、用户行为风险评分和受攻击账户检测等能力。FortiSIEM是一款强大的网络威胁防护解决方案,理论上说适用于任何企业,不过在实际应用时,它尤其适用于已经使用飞塔防火墙等设备的用户,因为通过与FortiGate设备集成,可以更加方便地共享数据。
主要特点 •检测异常端点行为:广泛的端点数据可以反映出受攻击的系统或账户,或者疏忽或恶意的内部人员。 •威胁情报:FortiSIEM支持提供CSV文件或支持STIC/TAXII标准1.0、1.1和2.0的威胁源。 •实时关联引擎:FortiSIEM可以动态运行数百条与用户活动相关联的监测规则。 •基于机器学习的检测:管理员可以通过机器学习,自动化查看异常行为和用户,无需自己来人工编写所有规则。
传送门:https://www.fortinet.com/products/siem/fortisiem
4、LogRhythm SIEM
LogRhythm是一款提供了强大UEBA功能的新型SIEM平台,主要特点就是使用机器学习技术来检测内部威胁、蛮力攻击和管理滥用等异常情况。LogRhythm的文件完整性监测功能可以快速查询到不合规的文件访问。如果用户存储大量含有敏感数据的文件,不妨考虑部署应用LogRhythm。LogRhythm可能需要几个月的时间来进行全面定制。但是对于具有高级SIEM需求的专业安全运营团队来说,它是一个很好的UEBA解决方案。
主要特点: •威胁情报集成:LogRhythm SIEM可以与目前主要的商业威胁源和开源威胁源集成。 •针对个别异常的评分机制:通过个别异常评分和汇总用户评分,用户可以优先确定哪些潜在威胁需要调查和缓解。 •自动威胁响应操作:LogRhythm可以通过自动实施威胁响应(比如文件隔离和URL阻止)帮助减少人员工作量。 •威胁分析模型:通过该模型,平台可以将用户身份对照自己的基准或所有被监测的身份进行威胁比对。
传送门:https://logrhythm.com/products/logrhythm-siem/
5、Cynet 360 AutoXDR
Cynet 360 AutoXDR是一款应用广泛的威胁检测和响应平台,能够为企业提供单一的多租户平台化服务,将端点、用户和网络安全功能融合在一个完整的服务套件中。UEBA也属于该平台的网络安全能力范畴,提供了广泛的UBA特性及其他安全工具,因此它是适合大企业的不错选择,尤其适合希望快速增强网络威胁检测和响应能力的安全团队。
主要特点 •网络响应编排:剧本式的威胁处置操作可帮助团队处理受感染的主机、恶意文件、网络流量和受攻击的用户账户。 •CyOps:Cynet提供由专业SOC专家辅助的24/7 MDR服务,协助深入调查、主动威胁搜索和攻击报告。 •用户行为监测:Cynet查找表明用户账户受攻击的异常行为。 •风险级别识别:平台的UEBA功能使用全面的用户信息来确定用户的整体风险级别。
传送门:https://www.cynet.com/cynet-360-for-compliance-frameworks/
6、Exabeam
Exabeam是一家安全运营服务提供商,UEBA是其主要服务功能之一,主要特点包括事件时间线管理、基于角色的访问控制以及常规性SIEM平台服务。Exabeam的最大特点就是可以与数百个第三方安全工具集成,并支持众多的数据源格式,包括Salesforce应用等非安全数据源,因此非常适合需要众多数据源的企业使用。
主要特点 •可以与SIEM系统集成:Exabeam允许客户将其UEBA解决方案与那些已经在使用的SIEM解决方案集成。 •其他预构建系统集成:除了SIEM外,Exabeam还与Microsoft 365、VMware ESXi、Salesforce和CrowdStrike等产品集成。 •异常行为分析能力:Exabeam结合来自多个产品的可疑信号以发现复杂的行为威胁。 •用户群体分类:Exabeam根据关系(比如同一个业务部门的内部用户)对用户和其他实体(比如设备)进行分类。
传送门:https://www.exabeam.com/
7、Splunk UEBA
Splunk UBA是一款较为少见的独立用户行为分析产品,提供了团队监测、分析和检测用户威胁所需的各项功能。企业可以使用Splunk的威胁监测工作流程来改善当前的安全状况。这项技术将企业中海量的原始事件警报聚焦到几个最有可能发生的威胁。对于想要一个专门用于用户分析独立解决方案的团队,可以选择使用Splunk UEBA。
主要特点 •事件优先级确定:每个异常都有自己的风险评分,Splunk可以帮助团队优先响应最关键的问题。 •多重异常和威胁模型:这些Splunk模型专注于检测企业外部的威胁。 •高级威胁检测:该产品旨在检测账户接管、指挥和控制活动以及浏览器漏洞。 •数据泄露检测:Splunk可以搜寻从存储位置提取或传输敏感公司信息的活动。 传送门:https://www.splunk.com/en_us/products/user-behavior-analytics.html
零基础网络安全学习计划
学习路线图大纲总览
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴文末免费领取哦,无偿分享!!!
【一一帮助网络安全学习,以下所有资源文末免费领取一一】 ①网络安全学习路线 ②上百份渗透测试电子书 ③安全攻防357页笔记 ④50份安全攻防面试指南 ⑤安全红队渗透工具包 ⑥HW护网行动经验总结 ⑦100个漏洞实战案例 ⑧安全大厂内部视频资源 ⑨历年CTF夺旗赛题解析
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么? 既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天) ①了解行业相关背景,前景,确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周) ①渗透测试的流程、分类、标准 ②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察 ④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周) ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周) ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析(HTTP、TCP/IP、ARP等) ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天) ①数据库基础 ②SQL语言基础 ③数据库安全加固
6、Web渗透(1周) ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周) 在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
这部分内容对于咱们零基础的同学来说还太过遥远了,由于篇幅问题就不展开细说了,我给大家贴一个学习路线。感兴趣的童鞋可以自行研究一下哦,当然你也可以点击这里加我与我一起互相探讨、交流、咨询哦。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
点击领取 《网络安全&黑客&入门进阶学习资源包》