Was ist User and Entity Behaviour Analytics (UEBA), und welche Bedrohungen fängt es ab?
Kurzantwort
UEBA (User and Entity Behaviour Analytics) erstellt Verhaltens-Baselines für Benutzer und Entitäten (Hosts, Dienstkonten, Geräte) und nutzt Statistik oder maschinelles Lernen, um Abweichungen als Risiko zu bewerten. Es glänzt bei Bedrohungen ohne saubere Signatur: kompromittierte Anmeldedaten, Insider- Missbrauch und laterale Bewegung — z. B. ein Benutzer, der plötzlich auf Systeme zugreift, die er nie berührt, zu ungewöhnlichen Zeiten oder anomale Datenmengen bewegt. Es ergänzt die regelbasierte Erkennung, statt sie zu ersetzen, und braucht Abstimmung, um Fehlalarme durch legitime Verhaltensänderungen zu vermeiden.
UEBA — User and Entity Behaviour Analytics — beantwortet eine Frage, die Signaturen nicht können: Verhält sich dieses Konto oder Gerät wie es selbst? Anstatt bekannte schlechte Muster abzugleichen, lernt es das normale Verhalten jedes Benutzers und jeder Entität und markiert bedeutsame Abweichungen.
Benutzer und Entitäten
Das «U» steht für Benutzer; das «E» für alles andere, das in Ihrer Umgebung agiert — Hosts, Dienstkonten, IoT-Geräte, Anwendungen. Dienstkonten sind besonders wertvoll zum Profilieren: Sie sollten sich vorhersehbar verhalten, daher ist ein Dienstkonto, das plötzlich interaktive Anmeldungen durchführt oder neue Systeme berührt, ein starkes Signal.
Wie es funktioniert
UEBA erstellt eine Baseline pro Entität und wendet dann statistische Modelle oder maschinelles Lernen an, um zu bewerten, wie weit die aktuelle Aktivität davon abweicht. Statt eines einzelnen binären Alarms erzeugt es in der Regel einen Risiko-Score, der sich über mehrere schwache Signale aufsummiert — ungewöhnliche Anmeldezeit, plus ungewöhnlicher Ressourcenzugriff, plus anomale Datenmenge — und bringt die risikoreichsten Entitäten zur Analystenprüfung hervor.
Was es abfängt
- Kompromittierte Anmeldedaten — die Anmeldung ist gültig, aber das nachfolgende Verhalten nicht.
- Insider-Bedrohung — ein Mitarbeiter, der außerhalb seiner Rolle auf Daten zugreift oder sie exfiltriert.
- Laterale Bewegung — eine Entität, die Systeme erreicht, mit denen sie keine Historie hat.
Grenzen
UEBA ist keine Magie. Legitime Veränderung — eine Beförderung, ein Projekt, eine Reise — erzeugt ebenfalls Abweichungen, daher produziert es Fehlalarme und braucht Abstimmung und Analystenkontext. Es ergänzt die regel- und TTP-basierte Erkennung; es ersetzt sie nicht.
Warum das wichtig ist
Interviewer wollen sehen, dass Sie wissen, dass UEBA auf verhaltensbasierte Bedrohungen zielt, die Signaturen verpassen, dass Sie Risk Scoring verstehen und seine Fehlalarmkosten respektieren — nicht dass Sie es als Allheilmittel behandeln.
Wahrscheinliche Anschlussfragen
- Wie unterscheidet sich UEBA von einer statischen Anomalieschwelle?
- Warum sind Dienstkonten oft gute Entitäten zum Profilieren?
- Welche Arten von Fehlalarmen erzeugt UEBA, und wie gehen Sie damit um?