用户行为分析产品白皮书v1

建立文明安康平安高效的互联网用户行为分析系统〔UBA〕产品白皮书网康科技2017年2月声明网康科技©2014所有，保存一切权力。本文件中出现的任何文字表达、文档格式、插图、照片、方法、过程等容，除另有特别注明，均属网康科技〔以下简称网康科技〕所有，受到有关产权及法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或局部容。信息更新本文档仅用于为最终用户提供信息，并且随时可由网康科技更改或撤回。免责条款根据适用法律的许可围，网康科技按“原样〞提供本文档而不承当任何形式的担保，包括〔但不限于〕任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使网康科技明确得知这些损失或损坏，这些损坏包括〔但不限于〕利润损失、业务中断、信誉或数据丧失。期望读者期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。本文档假设您对下面的知识有一定的了解：AD效劳器根本的数据分析能力Windows操作系统目录目录31部威胁给企业管理带来的挑战41.1部威胁和大数据技术41.2用户面临的问题41.3网康UBA帮您解决部威胁42产品形态52.1硬件平台52.2软件系统53功能介绍63.1分析总览6风险用户7连接最多的IP地址8关注用户9风险部门9最近的风险事件10地区分布103.2云应用-员工与事件11用户列表11用户分析12事件列表14主机列表15外发文件163.3云应用-策略和导入17置策略17日志导入18用户导入19对象配置223.4系统配置23系统部署23单机模式23集群模式24系统状态253.5账号管理264特点与优势274.1高度灵活的日志学习能力274.2强大的数据模型构建能力284.3创新的流处理和批处理双引擎294.4灵活的组网扩容方案294.5人性化界面设计，易于操作管理294.6运行稳定可靠304.7独立的日志中心305产品的部署315.1单机部署315.2多节点部署316关于网康科技32部威胁给企业管理带来的挑战部威胁和大数据技术大局部传统平安公司都定位于解决外部威胁问题，但是企业或组织的部威胁问题更加严重，尤其在中国的大局部行业客户都是专网或网，也更加在部威胁投入较大。根据国外的机构调查，85%的数据泄露是来于部威胁，75%的部威胁事件没有对外报告出来，53%的企业认为部威胁的危害要远大于外部威胁。根据国外对于UBA(用户行为分析)的市场定义来看，主要针对部威胁、金融欺诈和目标攻击，我们接下来描述的UBA主要针对部威胁。部威胁主要包含以下几种：1部金融欺诈，获取个人或小团体利益；2知识产权窃取，有产权和无产权意识；3部间谍和贼，窃取重要信息或资产；4无意识泄露私有或敏感数据；5不合规的部行为，如访问未授权的信息、系统或网络。根据IDC的预测，基于大数据的平安分析技术，通过搜集来自多种数据源的信息平安数据，深入分析挖掘有价值的信息，对未知平安威胁做到提前响应，降低风险，实现最正确的平安防护，基于大数据的智能平安分析将成为平安领域的开展趋势。用户面临的问题在UBA的领域，主要针对大企业、行业组织和高等教育进展问题描述：对于大企业(包括互联网企业)或行业公司组织，客户主要问题是：出现平安事件，需要很繁琐的在不同设备和日志中心来查询各种信息，并且用户信息不关联，人工关联较多，查询繁琐，处理平安事件效率较低。当前较难提供基于事中的有效告警和快速分析，因为大局部告警误报率较高，比方DLP，比方IDS等，需要人工二次排查工作量较大。网康UBA帮您解决部威胁对于部平安威胁的泛滥？这是摆在企业管理者面前的一道难题。网康UEBA数据分析产品，提供灵活地策略管理，根据企业的个性需求量身定制，帮助企业“上好网，用好网〞，实现企业平安、文明、安康、高效的网络环境。网康用户行为分析系统〔NetentSecUserBehaviorAnalytics，简称NSUEBA〕是网康科技推出的一款专业的用户实体行为分析产品，是面向企业用户的软硬件一体化的数据分析设备。用户行为数据化和基于大数据的智能行为分析。UEBA帮助用户防信息泄露、防止商业欺诈、增强效劳质量、提高工作效率。产品形态硬件平台网康UEBA采用软硬一体的效劳器设备产品形态，与具有极高的稳定性与运行效率，可方便部署于网络机房机架中；并且具有高度的扩展性，全面满足不同用户规模的客户需求。网康UEBA硬件平台具有以下优势：高运行效率网康UEBA产品全面采用先进的*8664bit架构，配合Intel高性能处理器与芯片组，并且在全应用层功能开启时依然保持极高的处理能力与运行效率。由于使用基于效劳器架构，因此具有更好的IO效率和设备稳定性。支持主机扩展网康UEBA支持主机节点的无限制扩容，以满足不同客户，不同数据量下的需求。即使已经部署了UEBA系统，也可以方便的扩容，对用户数据没有影响。软件系统网康UEBA软件系统具有以下优势：高可用性与稳定性网康UEBA操作系统由网康使操作系统、底层功能核心、用户界面三者具有高度的耦合性，保证了系统的高可用性与稳定性。此外，网康UEBA软件系统对硬件平台也进展了相应的优化，使产品的稳定性大大提高。人性化操作网康UEBA操作模式采用B/S架构，用户可在远端利用浏览器登陆网康UEBA管理平台。此外，UEBA在设计时就极为重视用户体验，在界面设计上采用了互联网领域先进的用户体验设计思想，例如功能模块的多标签化、审计结果的图表可视化等。强大的日志解析和数据模型分析功能下一节重点描述。功能介绍分析总览分析总览页面是UEBA系统首页，成功登录系统之后的页面就是分析总览页面。也可点击菜单“分析总览〞进入分析总览页面。分析总览包括9个子模块区域，具体见以下图3.1分析总览。图3.1分析总览TOP风险用户TOP风险用户是展示UEBA系统中，风险分数最高的前10名用户。具体如图3.1分析总览的区域4中。TOP风险用户，展示用户，用户所属部门，用户职位以及用户的风险分数。假设要查看用户的具体信息，钻取该用户即可到该用户的用户分析页面。来查看用户的详细信息和名下所有的风险事件。钻取结果如以下图3.2所示：图3.2用户分析连接最多的IP地址“连接最多的IP地址〞展示了用户访问最多的10个IP地址。如以下图3.3所示。图中右侧的数字表示访问次数，点击数字可钻取到相应IP地址详细信息页面，显示出所有访问该地址的详细信息。如图3.4所示。图3.3连接最多的IP地址3.4访问详情关注用户对于需要关注的用户，可将其参加关注用户列表。关注用户在图3.1分析总览页面的区域5位置。区域5展示了关注用户的、部门、职位和风险分数。关注用户可以执行新增、移除和钻取操作。TOP风险部门TOP风险部门展示出风险分数最高的前10个部门，具体如图3.1分析总览的区域8中。图中可以查看具体风险用户个数，其中橙色为高风险用户、黄色为中风险用户、灰色为低风险用户的比例。点击部门对应的直方图，页面跳转到用户列表页面，列示出该部门下所有的风险用户。最近的风险事件分析总览页面可以直接看到整个UEBA系统中，风险事件总数、高风险事件总数和最近一周风险事件总数。具体如图3.1分析总览的区域3中。其中“累计风险数〞是当前系统中所有的风险事件总和，“高风险事件〞是风险分数高于25的事件数总和，“最近一周风险事件〞是最近一周之发生的风险事件总和。这3个数值都可以钻取，点击到事件列表页面，列示出对应的事件。具体如以下图3.5所示：图3.5事件列表TOP地区分布TOP风险地区，以地图着色的形式，展现各地区风险用户数量，具体如图3.1分析总览中区域9。TOP风险地区需要配置地理信息，配置方式可参考5-4对象配置章节。如果重现地区覆盖，可选定该地区，滑动鼠标滚轮，将地图放大进展查看。点击地图中的*个地区可以看到该地区下风险分数最高的前5个用户。具体如以下图3.6。图3.6TOP地区分布在区域的左下方有3个颜色块，从高到低，分别代表高风险、中风险和低风险地区。在TOP地区分布中，支持按照风险级别进展显示。如果只显示高风险地区，点击中风险和低风险颜色块，取消显示。云应用-员工与事件员工与事件可以显示出所有的风险用户、所有用户的详细信息，所有风险事件，用户访问过的主机，外发的文件等功能。在界面中包括用户列表、用户分析、事件列表、主机列表和外发文件。点击“云应用〞下“员工与事件〞菜单即可进入用户列表功能。具体如以下图3.7。图3.7用户与分析用户列表用户列表列示了系统中所有的风险用户信息。界面中包括风险分数围、当前用户分布和列表详情。界面如以下图3.8所示：图3.8用户列表在用户列表页面的最上面的区域中为用户分数轴，分数轴的最右端标出了系统中最高的风险分数，下面的两个刻度从左至右分别表示低风险和中风险分割点，中风险和高风险分割点。分数轴上面两个刻度，可以调节，分别表示显示的风险用户最小值和最大值。用户列表页面的中间局部是分布图，通过该图，我们能看出系统中高风险、中风险、低风险用户大致分布情况。将鼠标放置图中的颗粒上，可显示对应用户的风险信息，点击颗粒可进入用户的用户分析页面，显示出该用户的详细信息。具体可查看4-2章节用户分析。用户列表页面的下方区域为用户列表信息数据，列示出了所有风险用户。显示列包括用户、部门、最早出现时间、最后出现时间、风险事件数和风险分数。默认情况下，按照风险分数降序显示。点击任意用户，页面可跳转到该用户的用户分析页面。在列表详情的右上角有搜索输入框，支持对用户的搜索功能。用户分析用户分析页面主要显示了用户的详细信息。包括用户根本信息和用户风险趋势图和用户的异常事件列表。可以在输入框中属于用户进展查找。以下图为用户分析中用户信息，具体如下3.9所示：图3.9用户信息图中显示了用户信息包括用户、用户职位、用户所在的部门，用户最早出现异常事件的时间、用户最后异常事件的时间，风险分数以及账号信息、终端IP、位置和地区信息。在用户分析页面的中间区域为风险分数增长趋势图、事件分数分布图、事件类型分布图。在风险分数增长趋势图中，将鼠标变放置悬浮点，页面显示出当前的风险分数，点击悬浮点，在下方详细信息区域中过滤出当天的风险事件。如以下图所示3.10中。图3.10风险分数增长趋势在事件分数分布图中，点击“加分块〞，在下方的详细信息中，也能够过滤出区域对应时间段的风险事件。如以下图所示3.11中。图3.11事件分数分布图在事件类型分布图中，点击任一事件类型，在下方的详细列表中，也能够过滤出指定的事件类型。如以下图3.12所示。图3.12事件类型分布图事件列表事件列表页面主要显示所有异常事件分布和异常事件列表。用户可以设定事件的显示条件，例如选择事件类型〔终端相关、SSLVPN、上网行为管理、失陷主机检测、其他日志〕，选择事件风险〔高、中、低〕，选定事件围〔日、周、月、半年〕。如以下图3.13事件列表中，显示了事件类型为“上网行为管理〞，事件风险为“中风险〞的最近24小时之的事件列表。图3.13事件列表事件列表页面的中间区域为事件类型分布图，事件类型分布图中可以看到每种事件类型所在的大致比例，将鼠标放置事件类型上，可以显示出该类型的事件总数。点击*个事件类型的区域，在下方的列表详情中过滤出该类型的事件。具体如以下图3.14事件类型分布所示。图3.14事件类型分布主机列表主机列表显示用户访问过的主机地址列表，上方区域“TOP目的IP〞展示了用户访问最多的IP地址。以直方图的形式，按照访问次数比例来显示，下方区域为列表详情，列示出所有的主机IP地址。具体如图3.15主机列表所示。图3.15主机列表在列表详情中，列出了所有的目的IP地址。包括IP地址、备注名、地区、最后出现事件、事件个数、访问人数等列。钻取IP地址列，页面跳转到该主机的详情页面，显示出该主机被访问的详细信息。具体如以下图3.16所示。图3.16目的地址详情在目的地址详情页面根本信息中，通过点击IP地址右侧的“修改别名〞，可以为IP设置别名。例如上图中对IP01设置了别名“智联招聘〞。在事件详情区域中，点击任一行的用户列，可以钻取到选定用户的用户分析页面。外发文件外发文件记录了所有外发文件的详细信息，既有对文件类型的总体统计，又能显示出具体的外发文件详细信息。如以下图3.17所示：图3.17外发文件云应用-策略和导入策略和导入包括策略列表、日志导入、用户导入和对象配置功能。在菜单项中点击“云应用〞下“策略和导入〞菜单即可进入策略列表功能。具体如以下图3.18所示。图3.18策略和导入置策略策略列表页面包括策略列表显示，新增策略，复制策略，策略查看和编辑，策略删除以及钻取等功能。页面如以下图3.19所示。在策略列表中显示状态、策略名、策略模型、条件、事件的分、事件数和操作列。其中点击策略名一列可对策略进展编辑，点击事件数一列页面跳转到事件列表，列示出该策略下的所有事件。图3.19策略列表日志导入日志导入页面完成日志类型配置的功能。点击策略和导入下的日志导入菜单项即可进入该页面。日志导入主要包括新增日志类型、编辑日志类型和删除日志类型功能。以下是详细介绍：在日志导入页面，点击“新增日志类型〞按钮即可添加日志类型，详细步骤如下：步骤1.配置根本信息，输入日志名称，选择日志格式〔当前支持csv和json两种格式〕，选择预先准备的日志样例，点击导入。导入成功后，点击下一步。步骤2.自定义列名〔可选〕。步骤3.点击“列名〞右侧的设置置列。步骤4.检查列属性，选择解析插件类型。检查列属性中是否与实际相符，对于需要解析的，选择解析类型。例如对于IP点分的，设置插件类型为“添加位置信息〞。步骤5.配置关联信息，输入标识字段、用户列、属性和时间列。步骤6.如果有多个用户列，需配置关联，则点击“〞，配置关联。参数输入完成点击确定。步骤7.所有配置完成后，点击“完成〞。系统检查通过，返回生效提示，在日志列表中可以看到新配置项。用户导入通过配置连接LDAP效劳器，可以获取用户信息。实现每日自动同步，增量更新的功能。点击菜单项“策略和导入〞下的“用户导入〞菜单，页面跳转用户导入页面。配置AD效劳器步骤：步骤1.输入AD域效劳器IP地址，效劳器端口，管理员名称，管理员密码，然后点击“获取BaseDN〞按钮，如图3.19。连接成功后效劳器IP后面的“尚未配置效劳器〞就会变成“效劳器连接成功〞。〔见步骤2中图3.20〕。图3.19AD域配置步骤2.效劳器连接成功之后，在下拉框入口〔BaseDN〕选择相应的DN。如以下图5.20。图3.20选择入口DN步骤3.选定远端DN，点击“获取远端DN〞，在用户树中选择远端DN后，点击确定。如以下图3.21所示。图3.21选择远端DN步骤4.如果需要增加过滤条件，勾选“显示高级配置〞，进展设置。配置完成之后，点击“保存配置〞。至此已完成LDAP效劳器导入用户的配置。如以下图3.22。图3.22保存配置用户信息也可以通过文件的形式进展导入，当前支持csv文件导入。在用户导入页面，点击页面中的“自定义文件导入〞，即可进入用户csv文件导入页面。用户导入步骤如下：步骤1.在用户文件导入页面，点击，进入文件上传的对话框，选择已经备好的用户csv文件，点击翻开。具体如下3.23导入csv文件所示：图3.23导入csv文件对象配置点击菜单项“策略和导入〞下的对象配置，进入对象配置页面。在对象配置页面下添加地理位置信息。步骤如下，点击“新增地址位置〞，输入IP网段、别名、描述，选择地区。点击确定，完成地理位置添加。界面如图3.24新增地理位置所示。图3.24新增地理位置系统配置系统部署在UEBA主页面上，点击菜单“系统配置〞“系统部署〞即可进入系统部署页面。系统部署是在UEBA完成安装之后执行的，可以配置系统为单机模式或者集群模式，配置主机的外网IP地址和网IP地址。具体配置如下。单机模式假设要配置UEBA系统为单机模式，步骤比拟简单，只需要配置外网地址即可。在模式中选择“单机〞，输入规划好的IP地址及其掩码、网关。配置完成后，点击“保存〞按钮。如以下图3.25所示。图3.25部署单机模式集群模式假设配置UEBA系统为集群模式，需要配置主节点和从节点。配置主节点方法如下。步骤1.在UEBA的系统部署页面中，选择模式为“集群〞，节点类型选择“主节点〞。具体如以下图3.26所示。图3.26配置主节点步骤2.配置主节点的网地址和外网地址。分别输入规划好的网地址及其掩码、网关地址，和外网地址及其掩码、网关地址。步骤3.添加从节点信息。在“配置从节点〞中输入从节点的IP地址，点击“添加〞按钮。添加成功之后，可以在下方列表中看到从节点信息。具体如以下图3.27所示。图3.27添加从节点如果部署了多个从节点，重复执行步骤2可以继续添加从节点。对于从节点，配置方式如下。步骤1.首先登录从节点的UEBA系统，在“系统部署〞页面，选择模式“集群〞，节点类型选择“从节点〞。步骤2.配置从节点的网地址，输入规划的网IP地址，以及掩码、网关，点击“保存〞。步骤3.在“配置主节点〞中输入，主节点的网地址，点击“添加〞。可以在下方看到添加结果。具体如以下图3.28所示。图3.28配置从节点系统状态从主页面上点击菜单项“系统配置〞“系统状态〞进入系统状态页面。该页面显示最近24小时设硬件使用情况和各系统组件状态，具体如图3.29。图3.29硬件状态账号管理点击UEBA菜单“admin〞->“账号管理〞进入该页面。账号管理页面，可以修改admin用户密码，修改公司详细信息。在账号信息页面点击“修改密码〞，页面弹出修改密码对话框。输入原密码，新密码，点击确定完成密码的修改。如以下图3.30。图3.30修改密码在账号信息页面，点击“修改信息〞，如以下图7.2修改用户信息所示。图3.31修改用户信息特点与优势作为一款优秀的用户行为分析产品，网康UEBA全面引领国行业潮流，并在多个方面到达国际水平。高度灵活的日志学习能力日志接收和理解是UEBA分析的核心功能之一，并且是数据分析的基石。网康UEBA的日志学习能力在灵活性、易用性等方便有明显优势。支持CSV和JSON两种日志格式CSV日志需要客户配置分隔符，系统能根据配置的分隔符，自动切割每条日志。如果是JSON日志，系统天然支持，无需做任何配置。日志导入自定义解析界面上提供了日志导入功能。客户将需要处理的原始日志导入系统中，系统将自动解析，解析出日志的每个值域。客户可以针对每个域进展编辑：重命名、选择解释器。解释器为定义数据模型提供了更多的方便，不同解释器解析后，数据模型构建会提供不同的运算符。目前有的解释器：1时间解释器2IP地址解释器3解释器4数值解释器5字符解释器除了解释器外，日志解析还提供了Enrich能力，如IP地址，可以选择增加Enrich地理位置信息等。针对用户信息的学习能力网康UEBA提供了日志的用户关联能力，客户配置了相应的日志的客户信息，能获取更好的用户关联效果，提供基于用户的一些日志Enrich。目前支持的用户关联有：工号、VPN账号、、IP地址、AD域信息、信息，通过指定这些用户信息，系统能更好的完善每一个用户信息，方便用户展示和统计。强大的数据模型构建能力数据模型的构建是数据分析的最为核心的能力。网康UEBA设备为此设计了基于客户自定义的数据模型构建，为各种行为分析提供了更多的可能。可以针对任意日志建立分析模型，通用性大大提高。容丰富的策略条件网康UEBA能够对任意日志的任意列，提供运算符。目前支持的运算符有时间匹配、IP地址匹配〔属于、地址段匹配〕、数值匹配〔大于，小于，等于〕、字符类匹配〔等于、不等于、模糊匹配、属于、首次出现、发生变化〕等。并且支持多个列的组合，列与列之间是与关系。针对任意的列，还提供了频率条件〔支持小时/天围的频率统计〕。列于列之间也为与关系。最后的结果，也是用户定制的。可以选任意的列，并且输入任意的解释文字。输出最终的事件信息。基于用户角色信息的分数配置网康的UEBA系统为每个用户提供了6个等级，每个等级的用户针对每个数据模型产生的事件可以记录不同的分值。目前定义了如下几个角色：0级即将离职1级绩效不佳2级高级领导3级HR想关4级公共账号5级普通员工为每个用户定义不同的标签，可以更真实的反响*一活动的影响。基于基线的数据分析可以配置一些数据的基线统计，基于假设干天的历史记录做出决策。通过基线去定义用户正常的状态，一旦基线建立，用户可以聚合数据，定义出用户的异常行为。目前支持最大值、最小值、平均值等一些常用的基线统计方法，并且这些也是可以可选的。实时统计，策略展示友好每个定义好的数据测量，都会实时的显示当前基于这个策略产生的事件数目，方便数据分析人员，及时的调整不合理的模型配置。创新的流处理和批处理双引擎主流的大数据分析产品有流式处理和批处理两种方式，两种处理方式各有优势。网康UEBA系统创新的将两种分析融合到一个系统中，为客户提供性能更好、更灵活的数据分析平台。灵活的组网扩容方案网康UEBA数据分析系统，针对不同的客户容量和需求，有2种部署方案供客户选择。单机模式集数据收集、数据处理、数据分析为一体化的单一硬件平台，适合日志量不是很大，或者数据分析种类不多的用户。部署简单，仍然具有以后扩容的能力。集群模式针对一些日志量巨大的，或者分析任务要求高的客户，UEBA提供了集群模式的模式，集群每个节点自动适配，无需管理员过多的介入，仅需要保证整个子网的连通性即可，提供强大的分析能力。人性化界面设计，易于操作管理管理界面简洁清晰，美观大方网康UEBA管理界面采用最新的web技术，结合传统C/S的操作风格，大大加强了Web操作的交互能力。界面构造清晰，美观大方，从整体布局到细小按钮都经过精心设计，充分贴合用户的思维、操作习惯。树型控制元素，实现便捷操作UEBA的员工与事件、策略和导入等多种控制元素都以树型构造展示，一目了然，便于操作和管理。集中显示系统宏观信息UEBA采用集中显示用户信息和关键事件活动，使管理员可以迅速了解最重要的信息。运行稳定可靠全系列设备支持双路电源，防止电源失效导致的系统中断；硬件设备采用的是定制的通用效劳器，具有很高的产品可靠性；多节点的系统部署方式下，默认开启了数据冗余，在其中一个