明朝万达：基于SIEM的UEBA数据安全技术解决方案

　　近年来，数字化经济快速发展，数据已成为重要的生产要素，其价值和重要性日益凸显。数据价值通过流转使用得以释放，但随着企业重要数据在业务拓展、市场分析等多种场景中流转使用的增多，所面临的安全问题也越来越多，安全事件频发，而在已发生的安全事件中很大一部分都和“内部因素”有关，因此对当前企业来说，数据安全体系建设重要的核心在于做好对内部风险的防护。

　　据市场调研发现，传统上企业应对内部安全问题广泛采用安全信息及事件管理（Security Information and Event Management，SIEM）技术，但随着影响数据安全应用场景的多样性和不定因素的增加，SIEM已不足以满足当前企业应对内部安全问题的需求，用户实体行为分电影盒子析（User Entity and Behave Analyse，UEBA）应运而生，成为新主流。

　　不同于SIEM以流量和请求为分析视角，UEBA直接以用户以及实体为监控对象，其监控和管理方式，由基于规则分析转为数据处理、关联分析、行为建模、异常检测，风险评分预测，具有行为分析能力更强大，操作更便捷，能够自适应动态的环境变化和业务变化，有效帮助企业提高安全运营和威胁检测的效率。

　　

　　作为中国新一代信息安全技术企业的代表厂商，明朝万达基于对数据安全领域深入研究和探索，依托自主研发的数据安全系列产品和方案，为用户提供基于SIEM的UEBA数据安全技术解决方案，有效提升企业数据安全防护能力，保障企业数据资产安全。该方案UEBA部分共包含数据配置、大数据分析和存储平台、UEBA行为风险建模、UEBA行为风险分析、用户行为风险展示和实体行为风险展示6部分。

　　● 数据配置

　　完成多源数据源的配置，如VPN、堡垒机、服务器、安全防护系统等；

　　● 大数据分析和存储平台

　　获取各个系统的用户和实体的行为日志和进行初步的数据过滤和转化处理，将初加工后的数据存储到制定的数据库中，以方便后续的分析、建模和可视化；

　　● UEBA行为风险建模

　　利用无监督学习、半监督学习等异常检测算法，对用户和实体行为数据进行建模，并构建单体行为基线和群组行为基线；

　　● 用户行为风险和实体行为风险

　　用于用户和实体的行为画像、数据安全风险等级、风险优先级、行为的溯源取证的展示。

　　如上图所示，当用UEBA技术实现对企业内部数据安全风险检测时。首先，以SIEM为数据获取平台，获取用户和实体行为数源；其次，还可利用Logstash，Kafka等日志收集技术，采集用户和实体行为数据，以便于获取更为全面的行为信息；接着，将采集的数据进行初处理，并将数据存储到指定数据库中；随后，基于人工智能算法，对数据库中的用户和实体历史行为数据进行行为建模，分别构建单体行为基线和群组行为基线；然后，根据用户和实体的单体行为基线和群体行为基线，分析和评估用户和实体行为的数据安全风险；最后，实现用户和实体的信息的汇总和展示。

　　明朝万达数据安全专家认为：UEBA技术，以用户和实体为核心，基于人工智能算法的强大数据分析能力，创造性的风险等级划分机制，针对性的行为分析模型，弥补了SIEM系统繁琐的规则制定与维护，海量的数据安全事件报警与真假报警混乱等问题的不足。基于UEBA的新一代数据安全技术，具有更加深度的行为分析，行为刻画和行为监控能力，将为企业提供更为准确和合理的数据安全服务。

　　明朝万达成立于2005年，专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务，历经十余年的发展与积累，客户覆盖金融、政府、公安、电信运营商、能源、设计院所和研发制造业等诸多领域。

　　

　　明朝万达始终以守护用户数据价值为己任，致力于让安全真正服务于业务发展。基于“动态数据安全，数据全生命周期管控”的产品理念，在大数据、云计算等新技术应用背景下，明朝万达以数据安全为核心、自主可控的国密算法应用技术为基础，研发的Chinasec（安元）数据安全系列产品及解决方案，覆盖数据产生、存储、交换、使用等全生命周期重要环节，实现对服务器、数据库、PC终端、移动终端以及网络通信的全IT架构下数据安全的协同联动管理，打造企业级的数据安全防护体系。