艺赛旗用户实体行为分析系统UEBA-云巴巴 -云巴巴

用户实体行为分析系统

UEBA 是垂直领域的分析者，提供端到端的分析，从数据获取到数据分析，从数据梳理到数据模型构建，从得出结论到还原场景，自成整套体系，提供用户行为跟踪分析的最佳实践，记录了人产生和操作的数据，并且能够进行实际场景还原，从用户分析的角度来说非常完整并且直接有效

立即咨询

背景需求

　　如何防范业务纠纷，提升风控管理水平？如何提升业务操作效率，节约成本？如何发现异常行为，有效防止客户敏感信息泄露......这些都是目前企业中非常关心的问题。而在信息业务系统使用过程中谁才是核心点？答案是人。
　　现在大型企业内部，非常重视安全管控，大量投资安全技术，分析的方法和层面选择众多，哪方面最有帮助和具备创新性，成为安全管理的核心。在日常安全工作中，对于外部安全威胁以防范为主，对于内部安全问题，以分析响应为主。很多外部安全问题的根源，也是来自内部的违规操作。越来越多的企业发现，检查人的相关信息比检查机器日志更容易发现问题。

　　随着 IAAS、PAAS、SAAS 等技术的不断普及，云化和分布式已经是所有大型企业 IT 系统演进的关键字，这时各种应用日志水平参差不齐，应用系统使用交叉频繁，企业终端处几乎成为一个唯一真正可靠的行为获取之处。相对于服务端日志和网络抓包，客户端日志可以有效获取非加密的行为日志、访问的数据内容。基于终端的数据分析产品和安全产品，正逐渐成为这个时代的最可靠的选择。

产品简介

产品概述

　　用户实体行为分析（User and Entity Behavior Analytics，简称 UEBA）是上海艺赛旗软件股份有限公司自主研发的用户行为分析管理产品，可对终端桌面上的操作行为进行完整录像，提供可视化录屏，并采集丰富的文本日志数据，对数据自动化处理，关联分析，索引归类，管理者和审计人员在 UEBA 系统中可以方便地搜索桌面上任何行为动作，定点查看关心的操作视频，全面掌控终端桌面上的使用行为，确保合规安全地利用终端资源。同时通过对行为数据的归类和分析，直观的展现企业员工的工作情况及工作效率。
　　UEBA 是垂直领域的分析者，提供端到端的分析，从数据获取到数据分析，从数据梳理到数据模型构建，从得出结论到还原场景，自成整套体系，提供用户行为跟踪分析的最佳实践，记录了人产生和操作的数据，并且能够进行实际场景还原，从用户分析的角度来说非常完整并且直接有效。UEBA 帮助用户防范信息泄露，避免商业欺诈，增强服务质量，提高工作效率。

技术架构

UEBA 主要通过部署在桌面的代理程序（Agent）来完成桌面操作画面的捕获及用户的操作行为日志摘要，通过集中管理平台来完成录像和日志的集成、匹配和基础分析，管理人员在管理页面可以直接查看这些数据，也可以将相关数据输出到大数据分析系统中进行分析，而最终发现问题或者需要人工干预时，可以随时调取直观可信的录像及日志来进行观察。
UEBA 的整体框架如下：
➢ 数据展现层：提供强大的搜索、效率分析、报表功能，保证基础的大数据使用能力；提供完整的会话-日志级别的展现，基于会话展现录像和日志；提供专门的应用行为日志展现，直接展现经过针对性优化分析的、可读性较强会话-日志文件；
➢ 数据管理平台层：提供统一的数据接收、存储、分析、管理平台，提供完整的搜索分词功能，提供全面数据接收发送能力，包括接收录像、日志并进行数据集成，下发策略，提供完整的系统管理能力，包括分布式系统管理、备份、用户管理等；
➢ 终端 Agent 功能层：基于下发的策略，实现录像和日志获取，支持黑白名单和细粒度的日志获取策略，支持 CPU 平缓化、网络平缓化、批量传送、断点续传等能力

产品功能

会话录像

对桌面的变化进行完整的录像，精确记录用户的每一个操作，记录下的视频具有法律效应。CDA 基于变化进行录屏，针对商业及字符应用特别优化压缩算法，使用自有文件存储格式，并针对视频拖拉优化了索引。由于这些特有录屏技术的使用，比较一般基于全屏截取的录屏软件，储存资源消耗可以减小 50-200 倍。基于变化录屏如图所示：

行为分析

通过已经生成的业务标签数据，选择相应的时间和业务标签，定义顺序，即可生成直观业务流程分析图。
➢ 基于用户业务操作流程的分析；
➢ 展现用户业务操作轨迹；
➢ 体现用户业务操作习惯；
➢ 用户操作业务流程是否合规；
➢ 分析用户业务操作行为；
➢ 业务流程是否具有优化空间。

效率分析

员工的工作效率如何？哪些员工工作的效率高？哪些员工效率低？工作效率低是因为什么？因为经常上网聊天做和工作无关的事情？每天有多少时间用在工作上？在这里，我们可以通过图例和数据展现员工的工作效率，并分析出高效比、低效比、无效时长等数据。
➢ 基于用户的工作高效、低效数据分析；
➢ 分析员工的工作时长及工作时间；
➢ 分析员工高效时长、无效时长、离线时长、高效比、无效比；
➢ 通过分类，分析员工每天工作占比，如办公花了多少时间，交流花了多少时间等；
➢ 按时间的柱状堆叠，直观观察用户活动的时间段、高效、无效、中立等时间占比；
➢ 显示员工每天使用最多的应用和网站。

仪表盘面板

利用强大的搜索功能，所有的搜索结果都可以转化为 KPI 指标，然后在 KPI 指标基础上，可以保存为视图，视图样式丰富，如数字板、曲线图、柱状图、饼图和列表等。通过仪表盘面板页面中种类丰富的图表，能够以最直观地方式呈现管理者关心的数据，充分展现企业各方面的运行状态。

录屏策略管理

　　系统通过灵活的录像策略，完成对用户不同需求的录像要求，包括运维用户场景、工具场景、全录像场景、不录像场景，结合应用黑白名单的配置，分别可以满足针对指定的人员、操作工具、应用等进行单独的触发录像或者不录像，只需简单的配置即可实现。具体有：
➢ 从登录到退出的全程录像；➢ 有操作动作时触发开始，无操作动作时即行停止；
➢ 按特定程序录像，其中又可分为只对某程序录像和只对某程序不录像；
如图所示：
　　依照选择的录像策略，以会话的形式整合所有捕获的数据，并对每个会话标识有用户名、桌面 IP、计算机名、会话时间等摘要信息，便于搜索统计。

产品特点

您需要的绝不遗漏

当用户按下鼠标、敲击键盘或是打开网页等行为操作时，UEBA基于不同场景对桌面的变化进行完整和连贯的录像，精确记录用户操作，不遗漏任何细节。使得搜索、行为风险分级、告警分析变为可行。

全程不间断录像、屏幕变化捕捉
不同场景录制判断、用户无感知
系统资源占用极小

视频检索真实还原

通过录像回放轻松再现完整的用户真实的细粒度行为操作过程，无需安装任何播放插件，同时支持多种录像回放模式，让回放过程变的更加清晰和直观。

录像分段及定位回放、录像和日志同步播放
录像精确跳转、录像倍速播放
录像自带截屏功能、支持Flash和Html5播放

实时监控

提供所有操作会话的在线实时画面监控功能，实时监控当前正在通过桌面发生的操作画面。

产品特点与优势

可视化录屏

　　对桌面的变化进行完整和连贯的录像，精确记录用户操作，不遗漏任何细节，录像可进行操作定位回放，员工操作行为可视化，记录下的视频具有法律效应，为商业纠纷及行为过程提供有效证据。实时监控，实时掌握行为动向。由于特有录屏技术，视频数据占用存储超小。

行为和效率分析

　　基于行为操作数据，提供强大的行为分析能力，帮助用户发现滥用、欺诈、泄露敏感数据等安全问题，并可以发现员工之间的潜在关系和工作交集。通过行为数据的分析，提供员工工作时间、内容及工作效率的统计，提升用户的客户服务质量，有效提升工作效率。

智能搜索引擎

　　把搜索引擎技术应用到企业日志检索中，UEBA 会把所有抓取和接收的源数据自动处理，提供统一搜索入口，用户即可如使用普通搜索引擎一般，直接输入关键字、时间、业务信息等条件，进行便捷搜索。
　　视频录像结合文本日志进行操作行为分析，实现了审计的可操作行，使得便捷的搜索、快递的定位、自动化的筛选归类等一系列审计分析手段成为可能，在此基础上的自定义报表、视图及搜索等，成为审计人员的强大工具。

满足安全规范要求

　　SOX、ISO 27001、等级保护标准和银监会相关规范等多种行业标准和安全规范，对信息系统中操作风险的监控上都做了明确要求，UEBA 将帮助企业在 IT 建设上更好地满足标准和规范要求。

丰富的行为捕捉

　　支持丰富的行为数据捕捉，包括键盘事件、鼠标事件、网页浏览行为、文档操作行为、CHAT 行为、邮件行为、运维工具操作行为等。捕捉的行为生成可视化的数据和文本，可以直接进行检索和调阅，并且和录屏关联。

低资源消耗

　　被监控桌面上运行的 Agent 程度对资源的消耗保持在低水平，对 CPU 不超、内存和带宽的占用都超小，可做到用户无感知，完全不影响正常业务行为。Agent 本身也具有防卸载功能，即使有技术基础的操作者也无法卸载或停止

多平台支持

　　全面支持 Vmware View、Citrix Xen Desktop、华为 FusionAccess 等主流云桌面平台，支持 Windows Xp、Windows Server2003、Win7、Windows Server 2008、Win8、Windows Server 2012 等全系列的 Windows 操作系统。
　　同时经过 Citrix、华为等云桌面厂商严格的融合测试，验证了 UEBA 良好的兼容性，获得测试厂商的官方认可，结成了战略合作关系。

应用场景多

　　可满足众多应用场景的需要，为客户提供多方面核心价值。
　　通过 UEBA，可以对客服中心、营业网点、操作中心、运维开发、外包团队等人员的工作过程实现高效而细致的分析，检查工作流程是否符合业务规范，评估操作是否熟练，最终促进业务工作的质量和效率。可帮助 IT 系统在安全上的防范工作，发现人员的高危敏感行为，防止数据泄露，尤其在保证第三方人员的行为可控方面，UEBA 可发挥良好作用。

客户案例

交通银行太平洋卡中心

　　艺赛旗 UEBA 帮助交通银行太平洋卡中心成功实现了服务全过程的可视化，为客户投诉和客服人员的违规操作提供了确凿的证据。实现了对客服人员的自动化质检，解决在线客服的质检难题。通过操作行为和效率分析并结合培训体系，提升了员工服务效率，发现客服人员违规操作，提升风控管理水平，防止客户数据泄漏。

浦发银行

　　浦发银行通过使用艺赛旗 UEBA，对操作中心员工操作的每笔业务自动生成操作过程的全录屏，完整记录员工业务操作过程，通过可视化的数据，观察员工工作模式。通过行为分析和效率分析，详细分析出业务人员的工作行为和工作效率，体现业务人员使用业务工具的时间，效率低的员工问题在哪，帮助提高工作效率和生产力。

上海移动

　　艺赛旗UEBA帮助上海移动实现对运维及外包团队工作行为全过程的可视化及工作行为分析，即可以帮助杜绝潜在危害，发现异常行为，也可以帮助提升开发效率。对运维过程中主机、数据库、网络设备的操作进行监控、记录和分析，主动实现对敏感数据访问的告警，降低敏感信息泄漏事故发生率。严密监控企业内核心机密文档的传播途径，发现潜在的商业欺诈。通过对研发人员的行为和效率分析，协助研发定位问题，体现研发人员工作效率和工作时间，提升研发效率，实现对外包团队的工作模式评价及风险控制。

江南农村商业银行

　　艺赛旗 UEBA 完全满足银监会对办理理财、信贷等业务时需要进行录音录像的需求，帮助江南农村商业银行全面实现理财、信贷、现金交易等业务的录音录像，同时进行录屏，真实还原柜员操作业务全过程，同步播放录音录像录屏，为潜在的纠纷提供了更为确凿的证据。同时实现了在柜员办理相关业务时自动触发录音录像，避免了人为的的漏录规范了业务人员的操作行为，提升整体风控管理水平。

深圳公安

　　深圳公安主要通过 PC、TC、PAD 等终端进行办公，从安全合规的角度考虑，办公过程会涉及到一些核心资料的查看，比如重要案卷的调阅、敏感人员信息的查看，可能存在信息泄露的安全隐患，或者办公人员不按照规定流程违规办理业务等行为。
　　艺赛旗 UEBA 帮助深圳公安对整个办公过程进行桌面录屏，并抓取办公人员所有的桌面操作过程形成可视化文本，抓取到的数据源进行分析、整理、统计，通过实时监控、检索、报表、告警等方式呈现给监控审计人员。有利于管理审计部门对整个办案过程实时掌控，及时发现违规甚至违法操作，避免操作风险和信息泄露事故，为整个系统的安全合规使用奠定了坚实的基础。