UEBA (User and Entity Behavior Analytics)

UEBA-Systeme analysieren das Verhalten von Nutzern und IT-Entitäten (Server, Anwendungen) mit maschinellen Lernverfahren, um Abweichungen vom normalen Verhaltensmuster zu erkennen, die auf kompromittierte Accounts, Insider-Bedrohungen oder laterale Bewegungen von Angreifern hinweisen. Im Unterschied zu regelbasierten Systemen erkennt UEBA neuartige Angriffsmuster, die keine bekannte Signatur haben. In Ausschreibungen für SIEM-Plattformen und SOC-Dienste ist UEBA als integriertes Modul mit Anforderungen an Baseline-Erstellung, Anpassungszeit, False-Positive-Rate und forensische Auswertbarkeit zu spezifizieren.