安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.92
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","EBA实体行为分析")}}

EBA实体行为分析

更新时间:2024-07-17

行为分析模块是利用内置的AI行为分析引擎进行内网威胁或者风险活动的发现,根据场景来分类主要包括:账号登录异常场景、数据库异常场景、外联场景、外发数据异常场景、访问异常场景、流量异常场景。每种场景内包括若干个算法并通过算法计算出基线值,EBA模块往往需要通过至少7天的流量自学习开始生成数据,最初监测到的数据会生成初始基线值,基线值可以理解为对特定行为进行一个月时间的拟合算法(有点类似于加权平均值,再结合一定的波动百分比)得到的一个数值,随着时间窗口的推移,基线值滚动变化,当某一天值大于基线值时,就会触发基线异常告警。

EBA模块在接入网络至少7天之后才开始产生数据,经验值来看往往在至少14天的学习之后,基线值才相对更加准确,所有模型算法计算基线值的取样时间窗口都是前1个月,数据采样单元以天为单位,所以某一刻的实际值对比的基线值,其实就是与前一个月的拟合算法值进行对比的。

  1. 总览页面

总览页面展示某段时间以来,所有异常行为的统计概况,左侧部分为滚动刷屏的异常描述,中间代表模型学习的量化总结,右侧页面代表触发的风险场景和受影响的内网主机数量,如下图所示。

  1. 风险场景页面

风险场景包括账号登录异常、数据库异常、外联异常、外发数据异常、账号暴破、流量异常等,每种风险场景在页面上有基本的说明,管理可选择具体风险场景,在右侧查看具体异常行为并支持检索,页面如下图所示。

管理员可点击具体风险行为,进一步查看行为分析、模型分析及行为画像等详情行为分析,如该主机包含多个风险场景也可在此页面进行灵活切换查看。

行为分析页面,主要是基于时间作为线索展示出来异常的时间段,横轴标黄的时间段就代表是异常的,每一个异常都可以在下面的纵轴对应的异常描述,且可以点击具体的基线值或者实际值再次下钻查看举证分析的详情,并可以点击<查看日志>跳转到日志检索页面举证,如下图所示。

模型分析页面,展示风险场景以及具体命中哪些类该场景的模型算法,如下图所示。

行为画像页面通过图表的方式展示具体模型在访问流量大小和访问次数的映射关系表,如下图所示。

其中,访问时间段标识过去一周内访问密集的每天时间段范围,并据此可以给人工判断某些行为提供一定依据。

行为分析(EBA)功能模块默认开启在2U规格设备,低端设备默认没开启。