UBA или отдел поведенческого киберанализа (CyberQuantico, Virginia) Ночная история с SMB заставила меня поискать различную информацию о том, как фиксировать тревогу в ситуации, когда заходит какой-нибудь товарищ и начинает, мягко говоря, слишком активно копаться в файлах, изучать, качать. При этом нет ни вирусов, ни бешеного сканирования, да вообще ничего особенного кроме, максимум, внешнего айпи. И вот что интересного я нашел: (кстати, будет интересно послушать тех, кто работал с этой штукой - велком в комментарии) UBA - интересное решение, позволяющее фиксировать подозрительную активность пользователя в системе. За счет чего? Во-первых, они определяют базовый уровень «нормальной» деятельности, характерной для организации и ее пользователей. Во-вторых, инструменты UBA быстро выявляют отклонения от этой нормы, которые требуют дальнейшего изучения. То есть они выделяют случаи, в которых происходит аномальное поведение. На самом деле, подобные задачи можно решать и с помощью SIEM-системы, но для этого нужно уметь ей грамотно пользоваться, с чем у многих проблема, а UBA - более профилированная штука. Подробнее в статье.