Skip to content

Was ist User and Entity Behaviour Analytics (UEBA), und welche Bedrohungen fängt es ab?

Kurzantwort

UEBA (User and Entity Behaviour Analytics) erstellt Verhaltens-Baselines für Benutzer und Entitäten (Hosts, Dienstkonten, Geräte) und nutzt Statistik oder maschinelles Lernen, um Abweichungen als Risiko zu bewerten. Es glänzt bei Bedrohungen ohne saubere Signatur: kompromittierte Anmeldedaten, Insider- Missbrauch und laterale Bewegung — z. B. ein Benutzer, der plötzlich auf Systeme zugreift, die er nie berührt, zu ungewöhnlichen Zeiten oder anomale Datenmengen bewegt. Es ergänzt die regelbasierte Erkennung, statt sie zu ersetzen, und braucht Abstimmung, um Fehlalarme durch legitime Verhaltensänderungen zu vermeiden.

UEBA — User and Entity Behaviour Analytics — beantwortet eine Frage, die Signaturen nicht können: Verhält sich dieses Konto oder Gerät wie es selbst? Anstatt bekannte schlechte Muster abzugleichen, lernt es das normale Verhalten jedes Benutzers und jeder Entität und markiert bedeutsame Abweichungen.

Benutzer und Entitäten

Das «U» steht für Benutzer; das «E» für alles andere, das in Ihrer Umgebung agiert — Hosts, Dienstkonten, IoT-Geräte, Anwendungen. Dienstkonten sind besonders wertvoll zum Profilieren: Sie sollten sich vorhersehbar verhalten, daher ist ein Dienstkonto, das plötzlich interaktive Anmeldungen durchführt oder neue Systeme berührt, ein starkes Signal.

Wie es funktioniert

UEBA erstellt eine Baseline pro Entität und wendet dann statistische Modelle oder maschinelles Lernen an, um zu bewerten, wie weit die aktuelle Aktivität davon abweicht. Statt eines einzelnen binären Alarms erzeugt es in der Regel einen Risiko-Score, der sich über mehrere schwache Signale aufsummiert — ungewöhnliche Anmeldezeit, plus ungewöhnlicher Ressourcenzugriff, plus anomale Datenmenge — und bringt die risikoreichsten Entitäten zur Analystenprüfung hervor.

Was es abfängt

  • Kompromittierte Anmeldedaten — die Anmeldung ist gültig, aber das nachfolgende Verhalten nicht.
  • Insider-Bedrohung — ein Mitarbeiter, der außerhalb seiner Rolle auf Daten zugreift oder sie exfiltriert.
  • Laterale Bewegung — eine Entität, die Systeme erreicht, mit denen sie keine Historie hat.

Grenzen

UEBA ist keine Magie. Legitime Veränderung — eine Beförderung, ein Projekt, eine Reise — erzeugt ebenfalls Abweichungen, daher produziert es Fehlalarme und braucht Abstimmung und Analystenkontext. Es ergänzt die regel- und TTP-basierte Erkennung; es ersetzt sie nicht.

Warum das wichtig ist

Interviewer wollen sehen, dass Sie wissen, dass UEBA auf verhaltensbasierte Bedrohungen zielt, die Signaturen verpassen, dass Sie Risk Scoring verstehen und seine Fehlalarmkosten respektieren — nicht dass Sie es als Allheilmittel behandeln.

Wahrscheinliche Anschlussfragen

  • Wie unterscheidet sich UEBA von einer statischen Anomalieschwelle?
  • Warum sind Dienstkonten oft gute Entitäten zum Profilieren?
  • Welche Arten von Fehlalarmen erzeugt UEBA, und wie gehen Sie damit um?

Quellen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.