UEBA (User and Entity Behavior Analytics): Vollständiger Leitfaden 2025

Was ist User and Entity Behavior Analytics (UEBA)?

UEBA (User and Entity Behavior Analytics) ist eine Cybersicherheitstechnologie, die das Verhalten von Nutzern und Entitäten analysiert, um anomale und potenziell schädliche Aktivitäten zu erkennen. Sie geht über traditionelle Sicherheitsmaßnahmen hinaus, indem sie sich nicht nur auf bekannte Bedrohungen, sondern auch auf Verhaltensmuster konzentriert. Mithilfe von maschinellem Lernen und fortschrittlicher Analytik werden Abweichungen vom Normalbetrieb identifiziert. Dies hilft Unternehmen, Insiderbedrohungen, kompromittierte Zugangsdaten und andere komplexe Angriffe aufzudecken. (Verwandter Inhalt: Lesen Sie unseren Leitfaden zu Sicherheitsanalysen.)

Die Kernfunktion von UEBA umfasst:

• Verhaltensanalyse: UEBA-Systeme analysieren das Benutzer- und Entitätsverhalten, einschließlich Aktionen wie Anmeldeversuche, Dateizugriff, Netzwerkverkehr und Anwendungsnutzung.
• Anomalieerkennung: Es erstellt eine Basislinie des normalen Verhaltens für jeden Benutzer und jede Entität und kennzeichnet dann Abweichungen von dieser Basislinie als potenzielle Bedrohungen.
• Maschinelles Lernen: UEBA nutzt Algorithmen des maschinellen Lernens, um subtile Muster und Anomalien zu erkennen, die bei herkömmlichen Sicherheitsmethoden möglicherweise übersehen werden.

Zu den wichtigsten Vorteilen gehören:

• Verbesserte Bedrohungserkennung: UEBA kann ein breiteres Spektrum an Bedrohungen erkennen, darunter Insider-Bedrohungen, kompromittierte Konten und Advanced Persistent Threats (APTs).
• VerbesserteSicherheitslage: Durch die proaktive Identifizierung verdächtiger Aktivitäten hilft UEBA Unternehmen dabei, ihre allgemeine Sicherheitslage zu verbessern und das Risiko von Datenschutzverletzungen zu verringern. 
• WenigerFehlalarme: Die Fähigkeit von UEBA, Kontext und Verhalten zu analysieren, trägt dazu bei, Fehlalarme zu minimieren, sodass sich Sicherheitsteams auf echte Bedrohungen konzentrieren können.
• SchnellereReaktion auf Vorfälle: Durch die schnelle Identifizierung und Meldung von anormalem Verhalten ermöglicht UEBA eine schnellere Reaktion auf Vorfälle und deren Eindämmung.
• Umfassende Transparenz: UEBA bietet einen umfassenden Überblick über die Benutzer- und Entitätsaktivitäten und hilft Unternehmen dabei, die Nutzung ihrer Systeme zu verstehen und potenzielle Sicherheitslücken zu erkennen.

UEBA-Tools verwenden innovative Algorithmen, die auf traditionellem maschinellem Lernen und Deep Learning basieren, um abnormales und riskantes Verhalten von Benutzern, Maschinen und anderen Entitäten im Unternehmensnetzwerk zu erkennen, oft in Verbindung mit einer SIEM-Lösung (Security Incident and Event Management).

---

Der wachsende Bedarf an UEBA: Insiderrisiken übertreffen externe Bedrohungen

Laut unserem aktuellen Bericht „Vom Menschen zum Hybriden: Wie KI und die Analyselücke das Insider-Risiko erhöhen“ haben Insider-Risiken externe Bedrohungen als größte Sorge der Sicherheitsteams abgelöst. In unserer Umfrage nannten 64 % der Cybersicherheitsexperten böswillige oder kompromittierte Insider als größere Gefahr als externe Angreifer, verglichen mit 36 %, die auf externe Akteure verwiesen.

Von diesen 64 % sahen 42 % böswillige Insider als Hauptsorge und 22 % nannten kompromittierte Insider. Über die Hälfte (53 %) gab an, dass die Zahl der Insider-Vorfälle im vergangenen Jahr zugenommen habe, und 54 % erwarten, dass sie in den nächsten 12 Monaten weiter zunehmen werden.

Die Erkennungsfunktionen sind noch unterentwickelt. Nur 44 % der Unternehmen nutzen die Analyse des Benutzer- und Entitätsverhaltens (UEBA), die für die Erkennung abnormaler Aktivitäten unerlässlich ist. Obwohl 88 % angeben, über ein Insider-Bedrohungsprogramm zu verfügen, sind viele davon informell, unterfinanziert oder verfügen nicht über die nötige Transparenz über alle Systeme hinweg. Auch die Führungsebene weist eine Lücke auf: 74 % der Sicherheitsexperten glauben, dass Führungskräfte das Insider-Risiko unterschätzen.

Generative KI verschärft das Problem. 76 % der Unternehmen haben die unbefugte Nutzung von GenAI-Tools durch Mitarbeiter beobachtet. KI-gestütztes Phishing und Social Engineering (27 %) sowie die unbefugte Nutzung von GenAI (22 %) zählen neben dem Missbrauch von Privilegien (18 %) zu den größten Bedrohungsvektoren für Insider.

Sicherheitsverantwortliche erkennen die Notwendigkeit besserer Einblicke in das Verhalten von Sicherheitslücken an, stehen jedoch vor technischen und organisatorischen Hürden. Datenschutzverstöße (20 %), mangelnde Transparenz (16 %) und fragmentierte Tools (10 %) führen zu blinden Flecken bei der Erkennung von Sicherheitslücken.

---

So funktioniert UEBA

User and Entity Behavior Analytics (UEBA) ist eine Kategorie von Cybersicherheitslösungen oder -funktionen, die das Verhalten von Benutzern und Entitäten analysieren und mithilfe erweiterter Analysen und Verhaltensmodellierung anomales Verhalten erkennen. UEBA wird verwendet, um fortgeschrittene Sicherheitsbedrohungen wie böswillige Insider und die Gefährdung privilegierter Konten zu erkennen, die herkömmliche, regelbasierte Sicherheitstools nicht erkennen können. UEBA-Lösungen erfassen Betriebsdaten aus zahlreichen Quellen und ermitteln das normale Verhalten von Benutzern oder nicht-menschlichen Entitäten. Zu diesen Entitäten können IT-Ressourcen wie Hosts, Anwendungen, Netzwerkverkehr, Dienstkonten und Datenspeicher gehören. Im Laufe der Zeit erstellt die Lösung standardisierte Verhaltensprofile für Benutzer und Entitäten über verschiedene Peer-Gruppen hinweg, um eine Basis für das Normalverhalten in einem Unternehmen zu schaffen. Wird anomale Aktivität erkannt, wird ihr ein Risikowert zugewiesen. Dieser Wert steigt mit zunehmendem Ausmaß an anomalem Verhalten, bis ein vordefinierter Schwellenwert überschritten wird und eine Warnung an Sicherheitsanalysten ausgelöst wird. Einige Lösungen können Reaktionsmaßnahmen automatisieren.

Hier ist ein detaillierterer Blick auf die Kernfunktion von UEBA:

• Maschinelles Lernen: UEBA nutzt überwachte und unüberwachte Techniken des maschinellen Lernens, um subtile Anomalien zu erkennen, die statische Regeln nicht erfassen können. Algorithmen können sich an das sich entwickelnde Benutzerverhalten anpassen, wodurch der Bedarf an ständigen manuellen Aktualisierungen reduziert wird. Dadurch kann das System versteckte Angriffsmuster aufdecken, wie z. B. langsame Datenexfiltration oder Privilegienmissbrauch, die sich schleichend entwickeln und andernfalls unentdeckt bleiben könnten.
• Verhaltensanalyse: UEBA sammelt und korreliert Daten aus verschiedenen Quellen wie Authentifizierungsprotokollen, Dateisystemen, E-Mails und Cloud-Anwendungen, um eine umfassende Aktivitätsübersicht zu erstellen. Es verfolgt nicht nur einzelne Ereignisse, sondern auch Aktionssequenzen im Zeitverlauf. So lassen sich ungewöhnliche Arbeitsabläufe, Zugriffsversuche oder Nutzungsmuster identifizieren, die auf Missbrauch oder Kompromittierung hindeuten können.
• Anomalieerkennung: Sobald normale Verhaltensprofile erstellt sind, vergleicht UEBA kontinuierlich neue Aktivitäten mit diesen Basiswerten. Abweichungen wie Anmeldeversuche von ungewöhnlichen Standorten, übermäßige Dateidownloads oder unerwarteter Zugriff auf sensible Ressourcen werden gekennzeichnet. Das System ordnet diesen Anomalien einen Kontext zu und hilft Analysten, zwischen harmlosen Abweichungen und echten Bedrohungen zu unterscheiden.

Verwandte Inhalte: Lesen Sie unseren Leitfaden zum Verhaltensprofiling.

Ganzheitliche Analyse über mehrere Datenquellen hinweg

Die wahre Stärke einer UEBA-Lösung liegt in ihrer Fähigkeit, Organisationsgrenzen, IT-Systeme und Datenquellen zu überwinden und alle für einen bestimmten Benutzer oder eine bestimmte Entität verfügbaren Daten zu analysieren.

Eine UEBA-Lösung sollte so viele Datenquellen wie möglich analysieren. Einige Beispieldatenquellen sind:

• Authentifizierungssysteme wie Active Directory
• Zugriffssysteme wie VPN und Proxys
• Konfigurationsmanagement-Datenbanken
• Personaldaten – neue Mitarbeiter, ausgeschiedene Mitarbeiter und alle Daten, die zusätzlichen Kontext zu Benutzern liefern
• Firewall, Intrusion Detection and Prevention-Systeme (IDPS)
• Anti-Malware- und Antivirensysteme
• Endpoint Detection and Response-Systeme
• Netzwerkverkehrsanalyse
• Bedrohungsintelligenz

Beispielsweise sollte eine UEBA-Lösung in der Lage sein, ungewöhnliche Anmeldungen über Active Directory zu erkennen und diese mit der Kritikalität des angemeldeten Geräts, der Sensibilität der aufgerufenen Dateien und kürzlich aufgetretenen ungewöhnlichen Netzwerk- oder Malware-Aktivitäten abzugleichen, die möglicherweise eine Kompromittierung ermöglicht haben.

Verhaltensbasierte Baseline und Risikobewertungen

Eine UEBA-Lösung lernt normales Verhalten, um abnormales Verhalten zu erkennen. Sie untersucht einen breiten Datensatz, um das Basis- oder Verhaltensprofil eines Benutzers zu bestimmen.

Das System überwacht beispielsweise einen Benutzer und erkennt, wie er ein VPN nutzt, wann er zur Arbeit kommt und bei welchen Systemen er sich anmeldet, welchen Drucker er verwendet, wie oft und wie groß die Dateien sind, die er per E-Mail versendet oder auf einen USB-Stick lädt, und viele weitere Datenpunkte, die das „normale Verhalten“ des Benutzers definieren. Dasselbe gilt für Server, Datenbanken und jedes andere wichtige IT-System.

Bei Abweichungen vom Basiswert erhöht das System den Risikowert des jeweiligen Benutzers oder Rechners. Je ungewöhnlicher das Verhalten, desto höher der Risikowert. Mit zunehmender Häufung verdächtigen Verhaltens steigt der Risikowert, bis ein Schwellenwert erreicht ist. Daraufhin wird der Vorfall zur Untersuchung an einen Analysten weitergeleitet.

Dieser analytische Ansatz hat mehrere Vorteile:

• Aggregation – der Risikowert setzt sich aus zahlreichen Ereignissen zusammen, sodass Analysten nicht manuell eine große Anzahl einzelner Warnungen überprüfen und diese gedanklich kombinieren müssen, um eine Bedrohung zu erkennen.
• Weniger Fehlalarme – ein leicht ungewöhnliches Ereignis allein führt nicht zu einer Sicherheitswarnung. Das System benötigt mehrere Anzeichen für ein ungewöhnliches Verhalten, um eine Warnung auszulösen. Dies reduziert die Anzahl der Fehlalarme und spart den Analysten Zeit.

Mehr Kontext– Traditionelle Korrelationsregeln, die von Sicherheitsadministratoren definiert wurden, waren möglicherweise für eine Gruppe von Benutzern oder Systemen korrekt, für andere jedoch nicht. Wenn eine Abteilung beispielsweise Schichtarbeiter oder Offshore-Mitarbeiter einstellt, melden sich diese zu ungewöhnlichen Zeiten an, was ständig eine regelbasierte Warnung auslösen würde. UEBA ist intelligenter, da es für jede Benutzergruppe eine kontextsensitive Basislinie erstellt. Ein Offshore-Mitarbeiter, der sich um 3 Uhr morgens Ortszeit anmeldet, wird nicht als ungewöhnliches Ereignis gewertet.

Zeitleistenanalyse und Sitzungszusammenstellung

Bei der Analyse von Sicherheitsvorfällen ist die Zeitleiste ein wichtiges Konzept, das scheinbar nicht zusammenhängende Aktivitäten miteinander verknüpfen kann. Moderne Angriffe sind Prozesse, keine isolierten Ereignisse.

Stellen Sie sich beispielsweise einen Benutzer vor, der sich anmeldet, verdächtige Aktivitäten ausführt und dann aus den Protokollen verschwindet. Wurde dieselbe IP-Adresse kurz darauf verwendet, um sich mit anderen Unternehmenssystemen zu verbinden? Falls ja, könnte es sich um denselben Vorfall handeln, bei dem derselbe Benutzer seinen Versuch fortsetzt, in das System einzudringen. Ein weiteres Beispiel wäre ein Angreifer, der sich mehrfach mit unterschiedlichen Anmeldedaten am selben Computer anmeldet. Auch hier müssen die Daten der verschiedenen Anmeldeversuche zusammengeführt und als ein einziger Vorfall gekennzeichnet werden.

---

UEBA-Anwendungsfälle und Beispiele

Insider-Bedrohungen

Es gibt drei Arten von Insider-Bedrohungen:

1. Fahrlässiger Insider– Ein fahrlässiger Insider ist ein Mitarbeiter oder Auftragnehmer mit privilegiertem Zugriff auf IT-Systeme, der sein Unternehmen unbeabsichtigt gefährdet, weil er die richtigen IT-Verfahren nicht befolgt. Beispiele hierfür sind Personen, die ihren Computer verlassen, ohne sich abzumelden, oder Administratoren, die ihr Standardkennwort nicht geändert oder einen Sicherheitspatch nicht installiert haben. Die Unterscheidung zwischen normaler und anormaler Benutzeraktivität ist entscheidend, um zu erkennen, ob ein Benutzer durch Fahrlässigkeit kompromittiert wurde.
2. Böswilliger Insider– Ein böswilliger Insider ist ein Mitarbeiter oder Auftragnehmer mit privilegiertem Zugriff auf IT-Systeme, der einen Cyberangriff auf das Unternehmen plant. Böswillige Absichten lassen sich nur schwer messen oder anhand von Protokolldateien oder regelmäßigen Sicherheitsereignissen erkennen. UEBA-Lösungen helfen, indem sie eine Basislinie des typischen Benutzerverhaltens erstellen und abnormale Aktivitäten erkennen.
3. Kompromittierter Insider– Angreifer dringen häufig in ein Unternehmen ein, kompromittieren ein privilegiertes Benutzerkonto oder einen vertrauenswürdigen Host im Netzwerk und setzen den Angriff von dort aus fort. UEBA-Lösungen können dabei helfen, böswillige Aktivitäten, die der Angreifer über das kompromittierte Konto ausführt, schnell zu erkennen und zu analysieren.

Herkömmliche Sicherheitstools haben Schwierigkeiten, einen kompromittierten Insider zu erkennen, wenn das Angriffsmuster oder die Kill Chain noch nicht bekannt ist (z. B. bei einem Zero-Day-Angriff) oder wenn sich der Angriff lateral durch ein Unternehmen bewegt und Anmeldeinformationen, IP-Adressen oder Computer ändert. UEBA-Technologie kann diese Art von Angriffen jedoch erkennen, da sie fast immer dazu führt, dass sich die Assets anders verhalten als die etablierten Baselines.

Priorisierung von Vorfällen

Ein SIEM sammelt Ereignisse und Protokolle von verschiedenen Sicherheitstools und kritischen Systemen und generiert eine große Anzahl von Warnmeldungen, die vom Sicherheitspersonal untersucht werden müssen. Dies führt zu Warnmeldungsmüdigkeit, einer häufigen Herausforderung für Security Operations Center (SOC).

UEBA-Lösungen helfen zu verstehen, welche Vorfälle im Kontext Ihres Unternehmens besonders ungewöhnlich, verdächtig oder potenziell gefährlich sind. UEBA kann über Baselines und Bedrohungsmodelle hinausgehen und Daten zur Organisationsstruktur hinzufügen – beispielsweise zur Kritikalität von Assets sowie zu den Rollen und Zugriffsebenen bestimmter Organisationsfunktionen. Eine kleine Abweichung von der Norm für ein kritisches geschütztes System oder einen Administrator der obersten Ebene kann für einen Ermittler einen Blick wert sein; für einen normalen Mitarbeiter erhält nur eine größere Abweichung hohe Priorität.

Data Loss Prevention (DLP) und Data Leak Prevention

Data Loss Prevention (DLP)-Tools verhindern den Datenexfiltrationsprozess, also die unerlaubte Übertragung von Daten außerhalb der Unternehmensgrenzen. Herkömmliche DLP-Tools melden jede ungewöhnliche Aktivität mit sensiblen Daten und erzeugen eine große Anzahl von Warnmeldungen, die für Sicherheitsteams schwer zu verarbeiten sein können.

UEBA-Lösungen können DLP-Alarme erfassen, priorisieren und konsolidieren, indem sie erkennen, welche Ereignisse im Vergleich zu bekannten Basiswerten anormales Verhalten darstellen. Dies spart Ermittlern Zeit und hilft ihnen, echte Sicherheitsvorfälle schneller zu entdecken.

Entitätsanalyse (IoT)

UEBA kann insbesondere im Umgang mit Sicherheitsrisiken Internet der Dinge (IoT) wichtig sein. Unternehmen setzen große Mengen vernetzter Geräte ein, oft mit minimalen oder gar keinen Sicherheitsmaßnahmen. Angreifer können IoT-Geräte kompromittieren, sie zum Datendiebstahl oder zum Zugriff auf andere IT-Systeme nutzen oder – schlimmer noch – sie für DDoS- oder andere Angriffe gegen Dritte missbrauchen.

Zwei sensible Kategorien des IoT sind medizinische Geräte und Produktionsanlagen. Vernetzte medizinische Geräte können kritische Daten enthalten und bei direkter Nutzung zur Patientenversorgung lebensgefährlich sein. Störungen in Produktionsanlagen können hohe finanzielle Verluste verursachen und in manchen Fällen die Sicherheit der Mitarbeiter gefährden.

UEBA kann verbundene Geräte verfolgen, eine Verhaltensbasis für jedes Gerät oder jede Gruppe ähnlicher Geräte erstellen und sofort erkennen, wenn sich ein Gerät außerhalb seiner normalen Grenzen verhält. Zum Beispiel:

• Verbindungen zu oder von ungewöhnlichen Adressen oder Geräten
• Aktivität zu ungewöhnlichen Zeiten
• Gerätefunktionen aktiviert, die normalerweise nicht verwendet werden

---

Konvergenz von UEBA und SIEM

Es besteht eine enge Beziehung zwischen UEBA- und SIEM-Technologien, da UEBA für seine Analysen auf organisationsübergreifende Sicherheitsdaten angewiesen ist und diese Daten normalerweise von einem SIEM erfasst und gespeichert werden.

Gartner betrachtet UEBA als eine in ein SIEM integrierte Funktion. Die Verhaltensanalyse ist eine der Funktionen, anhand derer Gartner die Anbieter im Magic Quadrant für Security Information and Event Management bewertet. Gartner beschreibt die folgenden Funktionen für ein SIEM:

• Aggregierte Ereignisdaten, die von Sicherheitsgeräten, Netzwerkinfrastruktur, Systemen und Anwendungen erzeugt werden
• Kombinieren Sie Ereignisdaten mit Kontextinformationen zu Benutzern, Assets, Bedrohungen und Schwachstellen, um diese zu bewerten, zu priorisieren und Untersuchungen zu beschleunigen.
• Normalisieren Sie die Daten, um eine effizientere Analyse zu ermöglichen
• Bieten Sie Echtzeitanalysen von Ereignissen zur Sicherheitsüberwachung, erweiterte Analysen des Benutzer- und Entitätsverhaltens, Abfrageanalysen, Unterstützung bei der Untersuchung und Verwaltung von Vorfällen sowie Berichterstellung.

---

UEBA vs. ähnliche Technologien

UEBA vs. NTA

Bei der Netzwerkverkehrsanalyse (NTA) geht es um die Überwachung und Analyse der Netzwerkkommunikation, um Anomalien oder Anzeichen einer Kompromittierung zu erkennen. Sowohl UEBA als auch NTA identifizieren abnormales Verhalten, ihr Anwendungsbereich ist jedoch unterschiedlich.

UEBA untersucht das Benutzer- und Entitätsverhalten über verschiedene Systeme hinweg – einschließlich Endpunkten, Anwendungen und Verzeichnissen – und nicht nur die Netzwerkaktivität. NTA beschränkt sich auf Netzwerkdaten und zeichnet sich durch die Identifizierung von Bedrohungen wie lateraler Bewegung und Datenexfiltration aus. Im Gegensatz dazu kann UEBA Bedrohungen erkennen, die den Missbrauch privilegierter Zugriffe, ungewöhnliches Anmeldeverhalten oder Änderungen der Dateizugriffsmuster betreffen. NTA unterstützt typischerweise Echtzeit-Verkehrsanalysen, während UEBA sowohl Echtzeit- als auch historische Daten für die langfristige Verhaltensmodellierung verwendet.

UEBA und NTA können sich gegenseitig ergänzen: NTA hebt verdächtige Netzwerkpfade hervor, während UEBA einen Verhaltenskontext darüber liefert, wer oder was beteiligt ist.

UBA vs. UEBA

Die Benutzerverhaltensanalyse (UBA) ist eine frühere Technologiegeneration, die sich ausschließlich auf menschliche Benutzer konzentriert. Sie analysiert das Benutzerverhalten, um Risiken wie den Missbrauch von Anmeldeinformationen, Insider-Bedrohungen oder verdächtige Zugriffsmuster zu erkennen.

UEBA (User and Entity Behavior Analytics) erweitert dieses Konzept um nicht-menschliche Entitäten wie Server, Anwendungen und IoT-Geräte. Dieser breitere Anwendungsbereich ist entscheidend, da viele Angriffe auf Entitäten abzielen oder von ihnen ausgehen, die über menschliche Benutzer hinausgehen. UEBA umfasst in der Regel auch erweiterte Analysen, wie z. B. Machine-Learning-Modelle, die komplexe Verhaltensanomalien in hybriden Umgebungen erkennen können.

Kurz gesagt: UEBA baut auf UBA auf, indem es eine umfassendere Sicht auf alle Entitäten in einer IT-Umgebung und die Beziehungen zwischen ihnen bietet.

---

UEBA-Analysemethoden

Einige UEBA-Lösungen nutzen traditionelle Methoden zur Erkennung verdächtiger Aktivitäten. Dazu gehören beispielsweise manuell definierte Regeln, Korrelationen zwischen Sicherheitsereignissen und bekannten Angriffsmustern. Die Einschränkung traditioneller Techniken besteht darin, dass sie nur so gut sind wie die von Sicherheitsadministratoren definierten Regeln und sich nicht an neue Bedrohungsarten oder Systemverhalten anpassen können.

Erweiterte Analysen umfassen mehrere moderne Technologien, die dazu beitragen können, abnormales Verhalten auch ohne bekannte Muster zu erkennen:

• Überwachtes maschinelles Lernen– Sätze bekannter guter und bekannter schlechter Verhaltensweisen werden in das System eingespeist. Das Tool lernt, neues Verhalten zu analysieren und festzustellen, ob es dem bekannten guten oder bekannten schlechten Verhaltenssatz „ähnelt“.
• Bayessche Netzwerke– können überwachtes maschinelles Lernen und Regeln kombinieren, um Verhaltensprofile zu erstellen.
• Unüberwachtes Lernen– Das System lernt normales Verhalten und kann abnormales Verhalten erkennen und darauf aufmerksam machen. Es kann nicht sagen, ob das abnormale Verhalten gut oder schlecht ist, sondern nur, dass es vom Normalzustand abweicht.
• Verstärktes/halbüberwachtes maschinelles Lernen– ein Hybridmodell, bei dem die Grundlage auf unüberwachtem Lernen liegt und tatsächliche Alarmlösungen in das System zurückgemeldet werden, um eine Feinabstimmung des Modells zu ermöglichen und das Signal-Rausch-Verhältnis zu reduzieren.
• Deep Learning ermöglicht die virtuelle Triage und Untersuchung von Warnmeldungen. Das System trainiert anhand von Datensätzen, die Sicherheitswarnungen und deren Triage-Ergebnisse darstellen, führt eine Selbstidentifizierung von Merkmalen durch und kann Triage-Ergebnisse für neue Sicherheitswarnungen vorhersagen.

Herkömmliche Analysetechniken sind deterministisch. Unter bestimmten Bedingungen wird eine Warnung ausgelöst. Andernfalls geht das System davon aus, dass alles in Ordnung ist. Die oben aufgeführten erweiterten Analysemethoden unterscheiden sich dadurch, dass sie heuristisch sind. Sie berechnen einen Risikowert, der die Wahrscheinlichkeit angibt, dass ein Ereignis eine Anomalie oder einen Sicherheitsvorfall darstellt. Überschreitet der Risikowert einen bestimmten Schwellenwert, löst das System eine Sicherheitswarnung aus.

---

Herausforderungen bei der UEBA-Bereitstellung

Datenintegration und Skalierung

Eine der größten Herausforderungen bei der UEBA-Implementierung ist die Integration unterschiedlicher Datenquellen. UEBA-Systeme basieren auf umfassenden, hochwertigen Daten aus Identitätsmanagementsystemen, Anwendungsprotokollen, Netzwerkverkehr, Endpunkttelemetrie und mehr. Die Integration dieser Quellen – oft in unterschiedlichen Formaten und Mengen – kann komplex und zeitaufwändig sein.

Ein weiteres Problem ist die Skalierbarkeit. Wenn Unternehmen wachsen und mehr Geräte, Anwendungen und Benutzer hinzufügen, steigt das Datenvolumen exponentiell an. UEBA-Lösungen müssen diese Daten nahezu in Echtzeit verarbeiten und gleichzeitig die Leistung aufrechterhalten. Ohne entsprechende Planung können Leistungsengpässe und erhöhte Latenzzeiten die Erkennungsfunktionen und die Arbeitsabläufe der Analysten beeinträchtigen.

Falsch-Positive

Trotz fortschrittlicher Analyseverfahren bleiben Fehlalarme bei UEBA-Implementierungen ein erhebliches Problem. Wenn das System zu viele Warnungen für harmlose Anomalien generiert – beispielsweise wenn ein legitimer Benutzer von einem neuen Standort aus arbeitet –, können Sicherheitsanalysten überfordert oder desensibilisiert werden.

Dieses Problem ist häufig auf eine unausgereifte Basisplanung oder unzureichenden Kontext in Verhaltensmodellen zurückzuführen. Mit der Zeit, wenn das System lernt und die Risikobewertung verfeinert, können Fehlalarme abnehmen. In den frühen Phasen der Bereitstellung oder in dynamischen Umgebungen kann es jedoch schwierig sein, eine akzeptable Alarmqualität aufrechtzuerhalten.

Qualifikations- und Ressourcenanforderungen

UEBA-Plattformen erfordern qualifiziertes Personal für Konfiguration, Optimierung und Wartung. Unternehmen benötigen Analysten mit Kenntnissen in Verhaltensanalyse, Bedrohungserkennung und Incident Response. Darüber hinaus können Dateningenieure erforderlich sein, um eine ordnungsgemäße Datenaufnahme und -normalisierung sicherzustellen.

Kleineren Organisationen fehlt möglicherweise das Fachwissen oder die Mitarbeiterzahl, um eine umfassende UEBA-Implementierung zu unterstützen. Selbst für größere Unternehmen kann die Integration von UEBA in bestehende Sicherheitsabläufe einen erheblichen Zeitaufwand und kontinuierlichen Aufwand erfordern, um die Genauigkeit und Effektivität der Modelle zu gewährleisten.

---

Wichtige Best Practices für die UEBA-Implementierung

1. Sorgen Sie für eine umfassende und qualitativ hochwertige Datenintegration

UEBA-Systeme benötigen umfangreiche, vielfältige Daten, um Verhalten präzise zu modellieren. Identifizieren Sie zunächst wichtige Datenquellen über Identitätsanbieter (z. B. Active Directory, LDAP), Endpunktprotokolle, Cloud-Anwendungen, VPNs, Proxys und Netzwerkverkehr hinweg. Integrieren Sie strukturierte und unstrukturierte Daten, um vollständige Verhaltensprofile zu erstellen.

Nutzen Sie Konnektoren, APIs oder Log-Shipper, um die Datenerfassung zu automatisieren und eine konsistente Zeitsynchronisierung zwischen den Quellen sicherzustellen. Zeitabweichungen können eine genaue Zeitleistenanalyse verhindern. Investieren Sie in Datennormalisierungs- und -anreicherungsprozesse, um Formate zu standardisieren, Mehrdeutigkeiten zu beseitigen und relevante Metadaten wie Benutzerrollen oder Asset-Klassifizierungen zu kennzeichnen.

Hochwertige Daten sind nicht nur eine technische Voraussetzung – sie bilden die Grundlage für die Fähigkeit von UEBA, aussagekräftige und umsetzbare Erkenntnisse zu generieren. Schlechte Datenqualität führt zu verzerrten Basiswerten, ineffektiver Anomalieerkennung und einer Zunahme von Fehlalarmen.

2. Etablieren Sie robuste Verhaltensgrundlinien

Die Effektivität von UEBA hängt von der Stärke seiner Verhaltensmodelle ab. Geben Sie dem System zunächst einen Beobachtungszeitraum von in der Regel mehreren Wochen, in dem es die Aktivitäten überwacht, ohne Alarme auszulösen. Während dieser Zeit legt das System Basiswerte für Benutzer und Entitäten fest, indem es Nutzungsmuster, Zugriffszeiten, Netzwerkinteraktionen und das Systemverhalten lernt.

Für eine höhere Genauigkeit sollten Baselines peer-affin sein und Verhaltensvergleiche zwischen Benutzern in ähnlichen Rollen oder Systemen derselben Betriebskategorie berücksichtigen. Die Berücksichtigung des organisatorischen Kontexts, wie z. B. Abteilung oder Standort, hilft bei der Anpassung von Baselines und verhindert Fehlklassifizierungen.

Überprüfen und verfeinern Sie diese Baselines regelmäßig. Stellen Sie sicher, dass sich das System an veränderte Geschäftsabläufe anpasst, beispielsweise durch die Hinzunahme von Remote-Teams oder saisonale Aktivitätsspitzen. Statische Baselines in dynamischen Umgebungen führen zu blinden Flecken oder Alarmmüdigkeit.

3. Konfigurieren Sie Schwellenwerte und Risikobewertungen sorgfältig

Nicht alle Anomalien sind gleichermaßen besorgniserregend. UEBA-Systeme verwenden Risikobewertungen, um den Schweregrad von Abweichungen zu bewerten. Diese müssen jedoch sorgfältig kalibriert werden. Beginnen Sie mit konservativen Schwellenwerten, um die Analysten nicht zu überfordern, und passen Sie diese basierend auf betrieblichem Feedback und Vorfallanalysen an.

Risikobewertung sollten Häufigkeit, Schweregrad und Kritikalität des betroffenen Systems oder Benutzers berücksichtigt werden. Beispielsweise sollte die ungewöhnliche Anmeldung eines Administrators an einem wichtigen Server mehr Gewicht haben als die gleiche Aktion auf einer normalen Workstation.

Nutzen Sie nach Möglichkeit dynamische Schwellenwerte. Adaptive Systeme, die mit der Zeit akzeptable Abweichungen lernen, können differenziertere Warnmeldungen bereitstellen. Definieren Sie außerdem Eskalationspfade und automatisieren Sie Reaktionsmaßnahmen für Ereignisse mit hoher Wahrscheinlichkeit und hohem Risiko, um die Schadensbegrenzung zu beschleunigen.

4. Warnmeldungen mit Kontext und Bedrohungsintelligenz anreichern

Kontext ist entscheidend, um die Triage-Zeit zu verkürzen und die Entscheidungsfindung zu verbessern. Ergänzen Sie Warnmeldungen mit Metadaten aus HR-Systemen (z. B. Beschäftigungsstatus, Abteilung), Anlageninventaren (z. B. Systemkritikalität) und historischen Verhaltensmustern. Fügen Sie Details wie Anmeldezeiten, Geräte-IDs, Geolokalisierung und Datenzugriffsprotokolle hinzu.

Integrieren Sie Threat Intelligence-Feeds, um Anomalien mit bekannten Indikatoren für Kompromittierung (IOCs) oder Taktiken, Techniken und Verfahren von Angreifern (TTPs) abzugleichen. Dies hilft, zwischen zufälligen Anomalien und gezielten Bedrohungen zu unterscheiden.

Präsentieren Sie angereicherte Warnmeldungen in einem analystenfreundlichen Format und verknüpfen Sie sie mit verwandten Ereignissen in der Angriffskette. Dies minimiert den manuellen Untersuchungsaufwand und verbessert die Qualität der Reaktionsmaßnahmen.

5. Inline-Integration mit Security Stack und Workflows

Um den Nutzen zu maximieren, muss UEBA in das umfassendere Sicherheitsökosystem eingebunden sein. Die Integration mit SIEM-Plattformen ermöglicht die Nutzung vorhandener Protokollerfassungs- und Korrelationsfunktionen. Risikobewertungen und Warnmeldungen werden in SOAR Systeme eingespeist, um die automatisierte Ausführung von Playbooks zu ermöglichen, beispielsweise die Isolierung von Geräten oder das Zurücksetzen von Anmeldeinformationen.

Stellen Sie sicher, dass die UEBA-Ausgabe mit Ihren bestehenden Incident-Response-Workflows, Ticketsystemen und Reporting-Dashboards übereinstimmt. Dies ermöglicht eine nahtlose Übergabe zwischen Erkennungs- und Untersuchungsteams und vermeidet Doppelarbeit.

Testen Sie Integrationen gründlich – UEBA-Systeme müssen nicht nur präzise Warnmeldungen liefern, sondern auch den betrieblichen Gegebenheiten entsprechen. Warnvolumen, Reaktionszeit und Benutzerfreundlichkeit sind ebenso wichtig wie die Erkennungsgenauigkeit. Streben Sie eine eng gekoppelte Architektur an, in der Verhaltensanalysen ein natürlicher Bestandteil Ihres Sicherheitsbetriebslebenszyklus werden.

---

Exabeam: Eine integrierte SIEM- und UEBA-Lösung

Im Feld werden mehrere Systeme eingesetzt, die die Datenbreite eines SIEM mit der umfassenden Analyse kombinieren, die durch hochmoderne UEBA-Engines ermöglicht wird.

Ein Beispiel für ein integriertes System ist die Exabeam SOC-Plattform. Exabeam ist eine vollständige SIEM-Lösung, die auf moderner Data-Lake-Technologie basiert. Darüber hinaus bietet sie die folgenden UEBA-Funktionen:

• Regel- und signaturfreie Vorfallerkennung–Exabeam nutzt erweiterte Analysen, um abnormale und riskante Aktivitäten ohne vordefinierte Korrelationsregeln oder Bedrohungsmuster zu identifizieren. Es liefert aussagekräftige Warnmeldungen ohne aufwändige Einrichtung und Feinabstimmung und mit weniger Fehlalarmen.
• Automatische Zeitleisten für Sicherheitsvorfälle–Exabeam kann verwandte Sicherheitsereignisse zu einer Zeitleiste zusammenfügen, die einen Sicherheitsvorfall über mehrere Benutzer, IP-Adressen und IT-Systeme hinweg anzeigt.
• Dynamische Peer-Gruppierungen–Exabeam führt nicht nur eine Verhaltens-Baselining einzelner Entitäten durch, sondern gruppiert auch dynamische ähnliche Entitäten (z. B. Benutzer aus derselben Abteilung oder IoT-Geräte derselben Klasse), um das normale kollektive Verhalten der gesamten Gruppe zu analysieren und Personen zu erkennen, die riskantes Verhalten zeigen.
• Laterale Bewegungserkennung–Exabeam erkennt Angreifer, die sich mit unterschiedlichen IP-Adressen, Anmeldeinformationen und Maschinen durch ein Netzwerk bewegen und auf der Suche nach sensiblen Daten oder wichtigen Assets sind. Es verknüpft Daten aus mehreren Quellen, um die einzelnen Punkte zu verbinden und die Reise des Angreifers durch das Netzwerk zu verfolgen.