O software de análise de comportamento de usuários e entidades (UEBA) é uma família de ferramentas usadas para desenvolver e modelar comportamentos de base para pessoas e hardware dentro de uma rede, com o objetivo final de identificar anormalidades e alertar a equipe de segurança. Essas ferramentas utilizam aprendizado de máquina para identificar padrões e monitorar comportamentos de usuários ou máquinas, notificando as partes interessadas sobre atividades anormais, comportamentos maliciosos ou problemas de desempenho que surgem de erros ou ações operacionais inadequadas.
As empresas usam a tecnologia UEBA para proteger suas informações sensíveis e sistemas críticos de negócios contra ameaças externas e internas. Estas podem ser funcionários ou parceiros que participam de atividades nefastas, como roubo de dados, ajuste de privilégios ou violação de políticas da empresa. As soluções UEBA também podem detectar contas comprometidas que podem ter resultado de senhas fracas ou golpes de phishing que fornecem acesso à rede a partes não autorizadas. A UEBA pode descobrir vários tipos de ameaças externas também; mais notavelmente, ataques de força bruta e escalonamento de privilégios.
A UEBA funciona de maneira semelhante ao software de autenticação baseada em risco (RBA) e ao software de rede de confiança zero. Ambas as ferramentas usam aprendizado de máquina para avaliar riscos e identificar atores de ameaças, mas nenhuma delas é projetada para monitorar constantemente o comportamento do usuário dentro de uma rede específica. A RBA leva em consideração variáveis como acesso histórico, localização e endereço IP para determinar o risco ao autenticar. As arquiteturas de rede de confiança zero são projetadas para segmentar redes e monitorar a atividade da rede. Se forem detectadas ameaças, um segmento da rede ou um ponto de extremidade individual será restrito do acesso à rede.
Para se qualificar para inclusão na categoria de Análise de Comportamento de Usuários e Entidades (UEBA), um produto deve:
Usar aprendizado de máquina para desenvolver comportamentos de base para usuários individuais e recursos dentro de uma rede
Monitorar os usuários e recursos dentro de uma rede para ameaças internas e outras anomalias
Fornecer detalhes de incidentes e fluxos de trabalho de remediação, ou integrar-se com soluções de resposta a incidentes
Integrar-se com sistemas de segurança existentes para aplicar políticas e desenvolver processos automatizados de gerenciamento de incidentes
