Поведенческий анализ пользователей и сущностей

UEBA — решения для выявления угроз, которые работают на основе поведенческого анализа. То есть сравнивают действия пользователей и устройств в системе с типовыми для них и выявляют аномалии. Системы UEBA базово обладают лишь возможностью уведомлять об отклонениях, для реагирования используются другие решения.

Зачем нужен UEBA?

Большинство ИБ-инструментов используют логику «Зафиксировано событие X, значит произошёл киберинцидент». Они фокусируются на проникновении злоумышленников в инфраструктуру извне и прочих внешних воздействиях. Современные киберпреступники зачастую могут долго оставаться внутри периметра, успешно маскируя свои действия под легитимные. Тогда традиционные методы выявления инцидентов заходят в тупик.

UEBA анализирует события, не разделяя их на внешние и внутренние. Система постоянно отслеживает происходящее в корпоративном периметре, выделяет и логирует любые отклонения. Так можно обнаружить кибератаки, оставшиеся незамеченными другими сервисами.

Примеры фиксируемых UEBA событий

  • сотрудник вошёл в систему не в свои стандартные рабочие часы (обычно с 9:00 до 17:00, а сейчас в 5:00);
  • вход зафиксирован из другой страны или даже с иного континента (Китай или США вместо обычной России);
  • сотрудник использует для входа в систему нетипичное устройство (вошёл с неизвестного ноутбука, а не с рабочего компьютера);
  • учётная запись подключилась к ранее не используемым ресурсам (инженер получил доступ к базе данных бухгалтерии);
  • сотрудник скачал большой объём данных за один раз (10 ГБ, тогда как ранее он таких скачиваний не выполнял).

Выявляя одно или несколько подобных событий, UEBA логирует их и отправляет уведомление администратору. Они могут быть как началом кибератаки, так и указывать на вполне объяснимое отклонение от рабочего процесса. Например, сотрудник находится в командировке, работает с личного ноутбука на больничном или приступил к решению новой задачи.

Что анализирует UEBA
Что анализирует UEBA

Схема работы UEBA

  1. Фиксирует все данные о поведении пользователей и устройств в системе.
  2. Создаёт базовый поведенческий профиль для каждого компонента системы.
  3. Сопоставляет поведение в данный момент с профилем и находит аномалии.

Предварительное обучение — важный этап внедрения UEBA, так как коробочное решение не может достаточно точно классифицировать события конкретной среды. Для этого используется комбинация встроенных алгоритмов, настраиваемых правил и машинного обучения.

UEBA и другие ИБ-инструменты

Поведенческий анализ пользователей и сущностей нацелен именно на выявление отклонений, а не реагирование. Для его работы необходимы приведённые к стандартному виду записи о событиях. Поэтому UEBA важно интегрировать с другими используемыми решениями:

  • SIEM, откуда UEBA будет получать нормализованные события для поведенческого анализа;
  • DLP, откуда будут поступать данные о возможных утечках;
  • XDR и SOAR, куда UEBA будет передавать данные о выявленных отклонениях для последующего реагирования.

В комплексных ИБ-продуктах UEBA нередко используют как один из модулей выявления угроз. Например, именно так поведенческий анализ работает в DLP-системе Solar Dozor.

Статьи с термином
Выкуп или убытки: почему не нужно платить хакерам?
Мастерская
Читать 6 минут
27.03.2026
Чек-лист: как защитить свой бизнес
Как защититься от фейковых CAPTCHA и атак ClickFix
Мастерская
Читать 5 минут
16.03.2026
Обновить, запустить, вставить — вы взломаны
Каждый 5-й киберинцидент в российском финсекторе в 2025 году был связан с попытками получить доступ к секретным данным.