L'analyse du comportement des utilisateurs et des entités utilisateurs (ou UEBA en anglais)[1] est l'analyse du comportement des utilisateurs, des sujets, des visiteurs, etc. dans un but spécifique[2]. Il permet aux outils de cybersécurité de construire un profil de l'activité normale de chaque individu, en examinant les modèles de comportement humain, puis en identifiant les écarts (ou anomalies) par rapport à ce profil, qui indiquent potentiellement la compromission d'un système[3],[4],[5].
Selon Johna Till Johnson de Nemertes Research, les systèmes de sécurité fournissent tellement d'informations qu'il est difficile de découvrir des informations indiquant réellement une potentielle véritable attaque. Les outils d'analyse aident à donner un sens à la grande quantité de données recueillies par SIEM, IDS/IPS, les journaux système et d'autres outils. Les outils UBA utilisent un type spécialisé d'analyse de la sécurité qui se concentre sur le comportement des systèmes et des personnes qui les utilisent. La technologie UBA a d'abord évolué dans le domaine du marketing, pour aider les entreprises à comprendre et à prévoir les habitudes d'achat des consommateurs . Mais il s'avère que l'UBA peut également être extrêmement utile dans le contexte de la sécurité[6].
Le E dans UEBA étend l'analyse pour inclure les activités de l'entité qui ont lieu mais qui ne sont pas nécessairement directement liées aux actions spécifiques d'un utilisateur, mais qui peuvent toujours être corrélées à une vulnérabilité, une reconnaissance, une intrusion ou un exploit[2].
Le terme UEBA est inventé par Gartner en 2015. L'UEBA suit l'activité des appareils, des applications, des serveurs et des données. Les systèmes UEBA produisent plus de données et produisent des rapports plus poussés que les systèmes UBA[1].
Les outils UEBA diffèrent des capacités des outils EDR en ce sens que l'UEBA se concentre analytiquement sur l'utilisateur, tandis que l'EDR se concentre analytiquement sur l'« endpoint »[3].
Les utilisateurs n'ont pas toujours de comportement moyen, et ce, spécialement les commerciaux se connectant depuis de nombreux lieux différents. Les implémentations d'UEBA sans liens créées avec la Gestion des identités et des accès retireraient la composante « utilisateur » de l'UEBA et donneraient souvent lieu à des échecs[7].