Les logiciels d'analyse du comportement des utilisateurs et des entités (UEBA) sont une famille d'outils utilisés pour développer et modéliser des comportements de référence pour les personnes et le matériel au sein d'un réseau, dans le but ultime d'identifier les anomalies et d'alerter le personnel de sécurité. Ces outils exploitent l'apprentissage automatique pour identifier les modèles et surveiller les comportements des utilisateurs ou des machines, en informant les parties prenantes des activités anormales, des comportements malveillants ou des problèmes de performance résultant d'erreurs ou d'actions opérationnelles inappropriées.
Les entreprises utilisent la technologie UEBA pour protéger leurs informations sensibles et leurs systèmes critiques pour l'entreprise contre les menaces externes et internes. Celles-ci peuvent être des employés ou des partenaires qui participent à des activités néfastes telles que le vol de données, l'ajustement des privilèges ou la violation des politiques de l'entreprise. Les solutions UEBA peuvent également détecter les comptes compromis qui peuvent avoir résulté de mots de passe faibles ou d'escroqueries par hameçonnage qui fournissent un accès au réseau à des parties non approuvées. UEBA peut également découvrir un certain nombre de types de menaces externes ; notamment, les attaques par force brute et l'escalade des privilèges.
UEBA fonctionne sur une base similaire aux logiciels d'authentification basée sur le risque (RBA) et aux logiciels de mise en réseau à confiance zéro. Ces deux outils utilisent l'apprentissage automatique pour évaluer le risque et identifier les acteurs de la menace, mais aucun n'est conçu pour surveiller constamment le comportement des utilisateurs au sein d'un réseau spécifique. RBA prend en compte des variables telles que l'accès historique, l'emplacement et l'adresse IP pour déterminer le risque lors de l'authentification. Les architectures de réseau à confiance zéro sont conçues pour segmenter les réseaux et surveiller l'activité du réseau. Si des menaces sont détectées, un segment du réseau ou un point d'accès individuel sera restreint de l'accès au réseau.
Pour être inclus dans la catégorie des analyses du comportement des utilisateurs et des entités (UEBA), un produit doit :
Utiliser l'apprentissage automatique pour développer des comportements de référence pour les utilisateurs individuels et les ressources au sein d'un réseau
Surveiller les utilisateurs et les ressources au sein d'un réseau pour détecter les menaces internes et autres anomalies
Fournir des détails sur les incidents et des flux de travail de remédiation, ou s'intégrer à des solutions de réponse aux incidents
S'intégrer aux systèmes de sécurité existants pour appliquer des politiques et développer des processus de gestion des incidents automatisés
