Общая информация
UBA (User Behaviour Analytics) — это технология анализа поведения пользователей, на которой основаны как самостоятельные программные решения, так и модули в составе IT-продуктов. Под поведением понимают действия и коммуникации пользователей рабочих станций (персонала).
Анализ действий и коммуникаций персонала начинается с того, что один из компонентов ПО (модуля UBA) агрегирует исходные данные и создает количественные показатели. На их основе другой компонент моделирует поведение пользователей и выявляет аномалии.
Аномалии — это любые резкие отклонения показателей от нормального значения. В зависимости от уровня развития программного обеспечения, количество типов аномалий может превышать несколько десятков.
Собранные в результате мониторинга коммуникаций и действий персонала показатели и аномалии становятся основой для профилирования. Профилирование происходит за счет отнесения пользователей (в том числе и подозрительных сотрудников) к различным паттернам поведения. Итоговый результат выводится в графический интерфейс DLP-системы или отдельного продукта.
Принцип работы
Для анализа действий сотрудников модулю UBA необходимы данные за определенный период — как правило, достаточно архива за несколько месяцев. Источником таких данных может быть отдельный архив или DLP-решение (система предотвращения утечек конфиденциальной информации). При установленном в организации DLP-решении отдельного архива не требуется, потому что вся информация уже есть в ее базах данных.
Основные направления сбора данных — трафик и контакты. В трафик включают все, что передает пользователь: файлы (и другие информационные объекты), пароли, сообщения (почтовая переписка и сообщения в мессенджерах), названия сайтов. В некоторых системах применяется распознавание текста. Получателей и отправителей информации относят к контактам.