UEBA (User and Entity Behavior Analytics)
Sicherheitsanalyse-Technologie die Verhaltensbaselines für Nutzer und Systeme erstellt und statistisch auffällige Abweichungen erkennt. UEBA findet Insider-Threats und kompromittierte Accounts auch dann wenn keine bekannten IoCs vorliegen.
UEBA (User and Entity Behavior Analytics) lernt das normale Verhalten jedes Nutzers und jedes Systems - und schlägt Alarm wenn Verhalten signifikant abweicht. Statt bekannte Angriffsmuster (IoCs) zu suchen, erkennt UEBA anomales Verhalten unabhängig vom Angriffsvektor.
Das UEBA-Prinzip
Normales Verhalten von User “max.müller”:
- Login: 08:30-09:00, aus Berlin, Windows-Laptop
- Datei-Zugriffe: ~200 Dokumente/Tag, Ordner “Projekte/Kunde-A”
- E-Mail: ~50 ein/ausgehend, keine Anhänge > 10 MB
- VPN: nie außerhalb Geschäftszeiten
Anomaly Detection:
| Ereignis | Risk Score |
|---|---|
| Login 03:17 Uhr aus Thailand | +40 |
| 5.000 Dokumente in 2 Stunden | +60 |
| ZIP-Datei 2 GB auf USB | +50 |
| E-Mail 847 MB an gmail.com | +70 |
Kombinierter Risk Score: 220 → kritischer Alert
Anwendungsfälle
Insider-Threat-Erkennung
Szenario: Mitarbeiter kündigt und exfiltriert Daten
Ohne UEBA:
- Download von 50.000 Dateien auf USB nicht erkannt
- Kein bekannter IoC, keine Malware
Mit UEBA:
- Baseline: 150 Datei-Zugriffe/Tag
- Anomalie: 50.000 Zugriffe in 3 Stunden
- Risk Score kritisch → Alert → Analyst prüft
Kompromittierter Account
Szenario: Credential Stuffing erfolgreich - Account übernommen
Ohne UEBA:
- Login mit echtem Passwort → kein Firewall-Alert
- Standard-SIEM hat keinen Alert-Trigger
Mit UEBA:
- Login aus unbekanntem Land → +30
- Login zu unüblicher Zeit → +25
- Zugriff auf Ordner nie zuvor besucht → +40
- Insgesamt: Alert “Account Takeover Risk”
Privilege Escalation Detection
Szenario: Angreifer escaliert von normalem auf Admin-Account
Mit UEBA erkannte Muster:
- Account greift erstmals auf Domain Controller zu
- Ungewöhnliche Admin-Tool-Nutzung (PsExec, Mimikatz)
- Neuer Service auf Server installiert zu außergewöhnlicher Zeit
UEBA-Technologie
UEBA nutzt Machine Learning:
| Methode | Beschreibung |
|---|---|
| Statistical Analysis | Abweichungen vom persönlichen Durchschnitt |
| Peer Group Analysis | Vergleich mit ähnlichen Nutzern (z.B. alle Buchhalter) |
| Time Series Analysis | Zeitbasierte Muster (Tageszeit, Wochentag) |
| Entity Graphs | Beziehungen zwischen Nutzern und Assets |
Datenquellen:
| Quelle | Daten |
|---|---|
| AD/Entra ID | Login-Events, Gruppenänderungen |
| EDR | Prozess-Starts, Datei-Operationen |
| DLP | Datei-Transfers, E-Mail-Anhänge |
| Network | Verbindungen, Bandbreite |
| Cloud | Azure/AWS API-Calls, Konfigurationsänderungen |
UEBA vs. SIEM
| SIEM | UEBA | |
|---|---|---|
| Basis | Bekannte Regeln/Signaturen | Verhaltensbaselines |
| Unbekannte Angriffe | Nicht erkannt | Erkannt (Anomalie) |
| False Positives | Kann hoch sein | Niedriger (kontext-aware) |
| Insider-Threats | Begrenzt | Stärke von UEBA |
| Komplexität | Mittel | Hoch (ML-Modelle) |
SIEM und UEBA sind komplementär - die meisten modernen SIEM-Plattformen (Microsoft Sentinel, Splunk, Elastic) integrieren UEBA-Funktionen.
Markt-Übersicht
- Microsoft Sentinel - UEBA integriert (Entity Behavior Analytics)
- Splunk UBA - eigenständige UEBA-Lösung
- Exabeam - spezialisiert auf UEBA + SIEM
- Securonix - Cloud-native UEBA
- IBM QRadar UBA - Enterprise-Fokus
- Varonis - Schwerpunkt Datei-Zugriffe und Cloud-Daten
Für KMU empfiehlt sich Microsoft Sentinel mit aktivierter Entity Behavior Analytics - in M365 E5 bereits enthalten.
