UBA 概述
UBA 关键指标
| 指标 | 说明 | 阈值建议 |
|---|---|---|
| Risk Score | 用户风险评分 | > 70 为高风险 |
| Peer Group | 用户所属对等组 | 按部门/职能分组 |
| Anomaly Score | 偏离基线程度 | > 3σ 为异常 |
| Insider Threat | 内部威胁指标 | 综合多个异常 |
配置步骤
-
安装 UBA App
- Admin > Extensions > Install
-
配置数据源
- Active Directory 认证日志
- VPN 日志
- 数据库审计日志
-
查看 UBA 仪表板
- 高风险用户列表
- 异常行为时间线
- 风险趋势
UBA Offense 调查
UBA 产生的 Offense 包含:
- 异常行为描述
- 用户历史活动
- 同类用户对比
- 建议处置措施
恭喜完成中级教程!接下来进入 高级教程。