Статья Поведенческий анализ угроз UEBA: detection без сигнатур для Blue Team

Макрофотография сетевой платы на тёмном антистатическом коврике. Янтарный свет выхватывает маркировку «svcbackup» и гравировку «T1087 · ACCOUNT DISCOVERY · RISK 87», на краю платы светится синий св...


SIEM-дашборд зелёный, корреляционные правила отрабатывают штатно. Ранним утром UEBA-модуль поднимает risk score до 87 для сервисной учётной записи svc_backup: в 02:38 она аутентифицировалась через VPN с IP-адреса, который ни разу не фигурировал в её профиле, после чего за 12 минут выполнила 340 LDAP-запросов к объектам Active Directory. Ни одно сигнатурное правило не сработало - учётка валидная, VPN-подключение легитимное, LDAP-запросы по отдельности безобидны. Без поведенческого baseline эта активность выглядит как штатная работа сервиса. С baseline - как Account Discovery (T1087) в начальной фазе lateral movement.

Разница между двумя интерпретациями - несколько часов или несколько недель незамеченного присутствия атакующего в инфраструктуре.

Почему сигнатурный подход слепнет: цифры и kill chain​

По данным CrowdStrike Global Threat Report 2025, основная масса детектов были malware-free - атакующие использовали легитимные утилиты, украденные токены и штатные инструменты администрирования. Из того же отчёта: вредоносное использование GenAI для социальной инженерии и фишинга удвоилось за год. IBM X-Force подтверждает - AI-генерированные фишинговые письма создаются в 11,4 раза быстрее при сопоставимом качестве. Подробнее - в нашем подробном разборе обнаружение apt атак.

Для сигнатурных правил это тупик. Нет вредоносного файла - нет хеша, нет IOC в классическом понимании. Атакующий входит с валидным паролем, использует net.exe для разведки, WMI для перемещения, а cmd.exe для выполнения команд. Каждое действие по отдельности - штатная работа системного администратора.

Бизнес-логика типичной атаки: начальный доступ через фишинг с украденными учётными данными -> разведка доменной инфраструктуры (Account Discovery) -> повышение привилегий -> горизонтальное перемещение -> вывод данных. На каждом этапе атакующий пользуется легитимными инструментами, и сигнатурные правила молчат. По данным IBM X-Force, 70% атак в 2024 году затронули критическую инфраструктуру. Облачные вторжения выросли на 26% год к году (CrowdStrike 2025) - поток первичных компрометаций растёт, а нагрузка на SOC вместе с ним.

Эту проблему и решает поведенческий анализ угроз UEBA: вместо поиска известных сигнатур система строит модель нормального поведения каждого пользователя и сущности, а затем детектит отклонения от неё.

UEBA система обнаружения угроз: архитектура и baseline​

1783629248120.webp

Источники данных и построение поведенческих профилей​

User Entity Behavior Analytics агрегирует данные из нескольких классов источников. Полнота тут - критическое условие: UEBA с неполными данными строит кривой baseline и генерирует шум вместо алертов.

Класс данныхПримеры источниковЧто даёт для baseline
АутентификацияActive Directory (Event ID 4624, 4625, 4769), VPN, SSOПаттерны входа: время, геолокация, устройство
Сетевая активностьNetFlow, DNS-логи, проксиТипичные направления трафика, объёмы
Endpoint-телеметрияCrowdStrike Falcon, Elastic Agent 8.x+, SentinelOneЗапускаемые процессы, parent-child chains
ПриложенияExchange / M365, файловые серверы, 1С, СУБДДоступ к ресурсам, объёмы скачивания
HR-контекстCMDB, кадровые системыРоль, отдел, дата приёма/увольнения

Период обучения baseline - один из самых недооценённых факторов. Трёх недель хватает для первичных профилей, но этого мало для учёта бизнес-циклов: квартальные отчёты, сезонные всплески, ротация сотрудников. NIST CSF 2.0 закрепляет этот принцип в контроле DE.AE-01: "baseline сетевых операций и ожидаемых потоков данных для пользователей и систем устанавливается и управляется".

Теперь конкретика по вендорам - потому что возможности UEBA принципиально различаются в зависимости от платформы:

Splunk UEBA использует peer group analysis: сравнивает поведение пользователя не только с его собственной историей, но и с паттернами группы аналогичных ролей. Интегрируется с Splunk Enterprise Security через CIM-модель данных. Можно создавать кастомные ML-модели поверх стандартных - и вот тут начинается реальная ценность, потому что дефолтные модели редко покрывают специфику конкретной инфраструктуры.

Microsoft Sentinel Entity Behavior Analytics - нативно интегрирован с Azure AD и M365. Предоставляет предустановленные ML-модели для шести категорий аномалий: необычный логин, необычный доступ к ресурсам, аномальный объём операций, нетипичное использование учётных данных, lateral movement, data exfiltration. Baseline обновляется автоматически. Удобно, если вы уже живёте в Azure-стеке; если нет - тянуть за собой зависимость от облака Microsoft ради одного UEBA модуля смысла мало.

Elastic Security ML Jobs (Elastic 8.x+) - unsupervised ML для аномалий в сетевом трафике и аутентификации. Требует настройки ML jobs через Kibana; из коробки даёт pre-built jobs для rare process execution, unusual network destinations и DNS anomalies. По моему опыту, Elastic требует больше ручной работы на старте, но зато даёт максимальную гибкость в кастомизации.

Из российских решений: MaxPatrol SIEM (Positive Technologies) содержит встроенный UEBA-модуль, анализирующий поведение пользователей и хостов на основе событий из коллекторов. R-Vision UEBA - отдельная платформа непрерывного мониторинга поведенческих аномалий. Оба решения активно развиваются на фоне перехода на отечественный стек.

Risk scoring: как не утонуть в false positives​

Risk scoring - центральный механизм UEBA. Каждому событию присваивается балл на основе степени отклонения от baseline. Баллы аккумулируются по сущности (пользователь, хост, сервисная учётка) за временное окно.

Принцип простой: одиночное аномальное событие - низкий балл (5-15 из 100). Аномальное время входа + нетипичный IP + обращение к ранее не используемым ресурсам = кумулятивный балл 75+, что пробивает порог алерта.

Проблема - ложные срабатывания. Без тюнинга UEBA быстро превращается в генератор игнорируемых алертов. Я видел это не раз: модуль включили, две недели смотрели, потом забили.

Практические рекомендации по тюнингу:
  • Сервисные учётки - в отдельную peer group. Их поведение принципиально отличается от пользовательского: svc-аккаунт генерирует тысячи запросов в минуту, и это нормально. Но один интерактивный логин через RDP - аномалия максимального приоритета.
  • Плановые события - в исключения. Патч-тьюсдей, бэкап-окна, миграции - все предсказуемые всплески размечаются как planned activity, иначе каждый вторник генерирует волну алертов.
  • Decay-формула для старых аномалий. Если пользователь один раз залогинился из нового города - через 30 дней этот факт должен весить меньше свежего отклонения. Без decay формула score накапливает исторический шум.

Detection engineering без сигнатур: три практических сценария​

1783629284823.webp

Обнаружение компрометации учётных записей (T1087, Account Discovery)​

Техника Account Discovery (T1087) - одна из первых, которую выполняет атакующий после получения начального доступа. Цель - понять, какие учётные записи существуют в домене, найти привилегированные аккаунты. На уровне SIEM это выглядит как серия LDAP-запросов или вызовов net user /domain, net group "Domain Admins" /domain.

Для детектирования T1087 в SigmaHQ существует 46 правил. Из практически полезных: zeek_dce_rpc_domain_user_enumeration.yml(https://github.com/SigmaHQ/sigma/bl...zeek/zeek_dce_rpc_domain_user_enumeration.yml) для Zeek - отслеживает DCE/RPC-вызовы перечисления доменных пользователей; cisco_cli_collect_data.yml - для сетевых устройств Cisco.

SPL-запрос для Splunk, построенный по логике Sigma-правил для массового перечисления учётных записей:
Код:
index=wineventlog EventCode=4661 ObjectServer="SAM"
| stats count by SubjectUserName, IpAddress, _time span=5m
| where count > 50
| eval risk_score=case(count>200, 90, count>100, 70, count>50, 40)
Контрмеры по MITRE D3FEND для T1087: D3-DAM (Domain Account Monitoring) - мониторинг обращений к доменным учётным записям; D3-LAM (Local Account Monitoring) - мониторинг локальных аккаунтов; D3-AM (Access Modeling) - моделирование нормального доступа для выявления отклонений; D3-AL (Account Locking) - блокировка учётной записи при превышении порога подозрительной активности.

Insider threat: аномалии поведения пользователей через легитимный аккаунт​

По данным опроса Exabeam (отчёт From Human to Hybrid, 2025; цифры требуют проверки по первоисточнику), заметная часть специалистов по кибербезопасности считают внутренние угрозы - malicious или compromised insiders - большей опасностью, чем внешние атакующие, отмечая рост инсайдерских инцидентов и несанкционированного использования GenAI-инструментов сотрудниками.

Конкретный сценарий. Четверг, 16:45. Сотрудник финансового отдела, обычно работающий с 9:00 до 18:00 и обращающийся к 3-5 отчётам в день, подключается через VPN в 23:12 и за 40 минут скачивает 2,3 ГБ из каталога "Договоры" на файловом хранилище. Ни одно сигнатурное правило не сработает: учётка его, VPN его, к хранилищу у него есть доступ. UEBA-система фиксирует три отклонения от baseline одновременно: нетипичное время подключения, аномальный объём скачивания (baseline менее 100 МБ/день), нехарактерный каталог доступа. Кумулятивный risk score - 82, порог алерта - 70.

Детектирующая логика для Microsoft Sentinel (KQL):
Код:
BehaviorAnalytics
| where ActionType == "FileDownloaded"
| where ActivityInsights.IsFirstTimeUserAccessedResource == true
| where ActivityInsights.DownloadedBytesAnomaly > 2
| project TimeGenerated, UserName, SourceIPAddress, RiskScore
Классический пример, где поведенческий анализ SIEM принципиально превосходит сигнатурный подход: нет IOC, нет малвари, нет эксплойта - есть только отклонение от baseline.

Обнаружение AI-генерированных атак: что видит Blue Team​

GenAI создаёт новый класс головной боли. Каждое AI-сгенерированное фишинговое письмо уникально - нет повторяющихся шаблонов, нет фиксированных индикаторов. Для сигнатурного детектирования это катастрофа.

Но поведенческий анализ продолжает работать, потому что смотрит не на содержимое атаки, а на действия после неё. Пользователь кликнул ссылку в письме - и его учётная запись начала обращаться к ресурсам, которые никогда не фигурировали в его baseline. С рабочей станции пошёл DNS-резолвинг к домену, зарегистрированному менее суток назад. Началось перечисление доменных объектов - техника, нетипичная для этой пользовательской роли.

AI может сгенерировать безупречное фишинговое письмо, но не может изменить поведенческий паттерн скомпрометированной учётной записи. Post-compromise actions остаются детектируемыми через baseline-отклонения - и это ключевое преимущество бессигнатурного обнаружения угроз перед сигнатурным подходом.

Чеклист внедрения поведенческой аналитики в SOC​

Готовый чеклист для руководителя SOC или включения в план проекта:
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Отдельно - таблица ограничений. Знание границ инструмента не менее ценно, чем знание его возможностей:

ОграничениеКонтекстЧто делать
Cold startНовый сотрудник - нет baselinePeer group baseline: сравнивать с аналогичными ролями
Baseline driftЛегитимные изменения в поведенииИнтеграция с HR для автоматического обновления профилей
Low-and-slow exfiltrationДанные выносятся малыми порциями, внутри baselineКумулятивный анализ за длительный период (30-90 дней)
LOLBins-техникиАтакующий использует те же инструменты, что и админКонтекстная корреляция: admin запускает net.exe - нормально; бухгалтер - аномалия

За три года работы с UEBA-модулями в разных SIEM у меня сложилось убеждение, которое многих раздражает: большинство организаций покупают UEBA, но никогда его не тюнят. Модуль включается в дефолтной конфигурации, первые две недели аналитики честно смотрят на алерты, потом false positive rate добивает до 40-60%, и UEBA превращается в дорогую строчку в лицензии, которую никто не читает. Результат предсказуем - когда реальный инцидент происходит, risk score тонет в шуме.

Проблема не в технологии. Проблема в том, что UEBA требует постоянного внимания: обновления peer groups при реструктуризации, перекалибровки порогов после каждого квартала, разметки плановых событий. Это не fire-and-forget продукт. Это процесс, который живёт ровно столько, сколько в него вкладывается SOC-команда.

Через год-два, когда AI-генерированные атаки станут нормой, а не исключением, организации без зрелого процесса поведенческого анализа окажутся в ситуации, где заметная доля атак для них невидима - потому что у этих атак нет сигнатуры, а baseline не построен. На форуме codeby.net коллеги ведут тред по тюнингу UEBA-моделей и калибровке риск-скоринга под конкретные SIEM-платформы - если выстраиваете поведенческую аналитику в SOC, стоит сверить пороги и peer group подходы.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab