什么是用户活动监控（UAM）？

各组织花费大量资金来防止网络犯罪分子的入侵。然而，一旦有人成功登录系统后，他们往往很难了解所发生的情况。

如果经过授权的用户将数据库数据复制到USB驱动器上，或者攻击者窃取了员工的密码并开始侵入您的网络，那么 perimeter防御系统就不会有任何反应。这时，用户行为监控就显得非常重要了。简单来说，监控用户的活动可以让你知道他们做了什么、在何处进行这些操作，以及这些操作是否成功。尤其是在涉及到敏感数据的情况下，这种监控就显得尤为重要了。

UAM并不能单独预防所有事故，但它能为你提供必要的证据，从而让你能够有针对性地应对数据泄露问题，而不是盲目应对。

用户活动监控的定义

用户活动监控是一种安全机制，它能够跟踪、记录并分析用户在各种终端设备、服务器、网络、应用程序以及SaaS服务中的操作行为。通过这种监控方式，可以及时发现潜在的安全问题。审计跟踪这是一种按时间顺序记录的文档，可以帮助你一步步地还原出所发生的一切。

现代UAM通常侧重于通过用户活动来追踪用户的行为。以事件为对象的日志记录这通常涉及到登录、文件访问、管理员命令以及权限的变更。虽然存在按键监控功能，但这种监控方式会干扰用户的正常使用，因此通常被视为一种特殊且需要特别处理的审计记录。

一个好的用户活动监控程序能够捕捉到足够的上下文信息，从而区分出是正常员工在执行正常操作，还是某个被攻破的账户试图窃取您的客户数据库。

用户活动监控工具

UAM工具通常指的是那些用于收集、集中处理和分析数据的技术。活动日志.

常见的工具会从以下来源获取信号：

• 终端和服务器日志（适用于 Windows、Linux、macOS 系统）
• 终端代理或传感器（用于转发安全事件的轻量级收集器）
• 身份与访问日志（单点登录、多因素认证提示、登录行为）
• 网络访问日志（包括VPN/零时隙网络接入网关、代理服务器、DNS等）
• 应用程序和SaaS服务的审计日志（包括管理员的操作、数据导出、链接共享等）

UAM工具并不需要“持续监控用户的屏幕”才能发挥作用。对于大多数团队来说，可靠的跟踪功能以及有效的分析手段，比那些繁琐的用户监控功能要实用得多。

监控用户行为与对用户本身的监控

本文主要围绕监控用户活动以保障安全性和数据安全性展开讨论。

• 监控用户活动（安全型UAM）重点关注以下风险：对敏感数据的访问、特权命令的使用、数据导出行为、异常的登录行为，以及系统被入侵的迹象。
• 用户监控/员工监视通常关注的是生产力方面：屏幕截图、网络摄像头检查、按键操作，以及“你为什么有3分钟时间处于空闲状态？”这类问题。

安全团队可以在不将办公室变成“监控者”的情况下，对用户的活动进行监控。其目的就是保护系统和数据的安全。

用户活动监控是如何工作的呢？

UAM其实就像一条管道：它负责记录各种事件，将它们转移到安全的地方，以可搜索的格式进行存储，然后分析这些数据以找出有用的信息。简单来说，它就是把“发生了什么事情”转化为“究竟是谁干的，以及我们是否应该担心”。

1. 数据收集

每当用户与系统进行交互时，系统都会产生各种事件：身份验证尝试、文件的读取和写入操作、权限提升，以及安全设置的更改。需要监控用户的各项活动。收集这些事件，并将其转化为结构化的记录。用于活动跟踪。

有用的用户活动监控记录通常能够回答以下问题：

• 是谁干的呢？（指的是用户/账户，通常还包括所使用的设备）
• 它们是在哪里进行的操作呢？（主机名、IP地址、应用程序/服务）
• 当这种情况发生时（有可靠的时间戳记录）
• 他们所做的事情（用户的操作以及所处理的对象：文件、记录、管理员设置）
• 结果（成功/失败，如“访问被拒绝”，错误信息等）

这种“谁做了什么操作，结果如何”的模式，正是实现责任追溯的关键。它将员工的行为与特定的身份联系起来，这样一来，调查就不会变成无休止的指责或猜测了。同时，当日志记录显示某人的账户、设备以及具体的操作行为时，那么对方声称“那不是我干的”就变得非常困难了。

2. 传输与聚合

散落在500台笔记本电脑上的日志，就像存放在500个不同的“口袋”里的收据一样。从技术上讲，这些日志是存储起来了，但实际上却毫无用处。

有效的用户活动监控将事件转发到集中存储中即使攻击者成功删除了被入侵的机器上的数据，那些记录仍然存在于某个更安全的地方。这样一来，就可以将身份事件、终端活动以及SaaS审计日志等信息整合在一起进行分析了。

好的工具可以自动化数据的收集与标准化处理，因此监控用户行为不再需要人们记住要导出日志文件。但实际上，直到出现问题后的五分钟之后，才有人会记得去导出这些日志文件。

3. 分析与相关性分析

原始日志数据虽然会包含很多噪声，但其中的模式却非常有用。大多数用户活动监控工具都依赖于多种方法的结合来实现这一目的。

• 规则/已知的不良模式
• 相关性（将不同系统中的事件进行关联）。
• 行为分析（将用户的行为与典型的模式进行比较）

示例：来自会计部门的Bob，通常在上午9点到下午5点之间访问三个文件夹。这属于正常的用户行为。但如果Bob的账户在凌晨3点开始访问工程部门的源代码，那就不正常了。此外，如果系统还触发了异常的数据导出操作，或者用户需要登录到一个全新的设备上去，那么通过用户活动监控就可以发现这个问题了。

该系统会分析用户的一系列操作行为。这有助于减少误报，同时让分析师能够专注于真正重要的事情。

用户活动监控带来的好处

网络犯罪分子非常喜欢利用人们的盲点来实施犯罪。而UAM最大的优势就在于其能够让人们更加清楚地看到潜在的风险。

针对内部威胁的UAM技术

通常，内部威胁指的是那些因为觉得“更快”而将敏感数据上传到个人硬盘的员工，或者那些在离职前将客户信息导出的人。

内部威胁已经能够获取访问权限了。用户活动跟踪可以帮助您发现那些具有风险性的员工行为：不寻常的下载行为、不合时宜的操作、可疑的下载目的地，以及突然发生的权限变更等。这些都可能为攻击者打开更多获取数据的机会。

2. 用于事件调查的无人机技术

如果没有UAM，那么对事件的响应就变成了一种昂贵的猜测行为。虽然你知道数据已经丢失了，但你并不清楚是谁接触了这些数据，以及他们还访问了哪些信息。

利用用户活动监控工具，团队可以……更快地重建时间线，并评估其影响范围。这意味着“我们正在调查”的情况会减少，同时，由于缺乏相关背景信息而导致的数据泄露事件也会减少。

3. 用于数据保护政策与合规性的UAM技术

许多框架都要求用户记录并审查相关活动，尤其是与敏感数据相关的活动。

• PCI DSS要求对支付环境中的日志进行每日监控。
• 根据HIPAA规定，包含电子健康信息的系统中必须实施审计控制措施，以“记录并检查相关活动”。

用户活动监控能够通过提供相关证据来支持数据保护政策。虽然它无法确保企业完全遵守相关法规，但它至少能证明企业的数据保护措施是有效的。

4. 对于已泄露的凭证，应采取UAM措施进行处理。

使用有效凭据的攻击者通常会表现出不同的用户行为：他们会在不寻常的位置进行登录，选择不合常理的时间进行登录，使用陌生工具来访问数据，甚至试图访问那些他们通常不会接触的数据。因此，对用户行为的监控就变得非常重要，以便发现这些异常行为。

UAM能够帮助团队在攻击者试图侵入高价值系统并引发数据泄露之前，及时锁定这些账户。

用户活动监控所面临的挑战

UAM听起来似乎很简单，但实际上却存在很多问题：大量的日志、复杂的系统结构，以及过多的警报信息。此外，它还是少数几种会同时让攻击者和员工都感到困扰的安全控制措施之一。虽然这些技术难题是可以解决的，但过程相当复杂。关于信任和隐私的问题，确实需要进行充分的规划。.

在员工活动的管理中，既要保障数据的安全性，又要尊重员工的隐私。

在保护资产与过度监控用户之间，存在着微妙的界限。默认情况下，应避免捕获个人内容。重点关注与安全性相关的用户操作，尤其是那些涉及敏感信息、权限变更以及可疑访问模式的操作。

良好的数据保护政策应该明确说明所收集的数据内容以及收集这些数据的目的。透明的政策能够减少人们的担忧，同时让活动监控工作建立在合理的业务风险基础之上。

在用户活动监控工具中，如何管理音量以及避免用户因频繁接收警报而产生的疲劳感。

中等规模的企业每天可能会处理数百万个事件。如果所有的工具都进行警报处理，那么团队最终会忽略掉所有需要处理的事件。

当检测行为完全不顾及上下文以及正常用户的行为时，就会出现“警报疲劳”现象。调整阈值，优先处理高风险信号，并定期审查相关规则，以确保对用户活动的监控仍然具有实用性。我们的目标是“更少、更好的警报信息”，而不是让收件箱看起来像一台老虎机。

影子IT以及非网络环境下的用户行为追踪

工作可以发生在任何地方：咖啡店、个人平板电脑、未被妥善管理的浏览器，以及直接通过SaaS方式访问的平台上。

如果用户的活动跟踪仅依赖于终端代理，那么许多员工的活动信息就会被遗漏。要弥补这一不足，通常需要使用SaaS审计日志、身份提供者提供的日志（来自Okta或Jumpcloud），以及安全的网络访问日志。

用户活动监控的最佳实践

最好的UAM项目会专注于那些重要的事件，保护由此产生的数据，并在出现问题时能够方便地进行调查。你希望UAM也能像安全带一样，为使用者提供安全保障。它很实用，而且在大多数情况下都并不引人注目。不过，直到某一天，它才能帮你摆脱那个糟糕的星期。

根据风险以及敏感数据的性质来界定范围。

重点关注那些敏感信息、特权访问权限，以及那些可能造成严重损害的系统。

一种简单的分层方法来监控用户活动：

• 普通用户：认证事件，对关键应用程序的访问
• 特权用户：管理员命令，权限变更
• 高价值资产：详细的用户操作跟踪，包括读取、写入和导出操作。

例如：销售团队经常需要导出各种报告，因此“导出报告”本身并不算什么可疑行为。但是，如果某个用户在午夜时分突然将所有CRM数据导出到新的云存储位置，那情况就不同了。这种情况下，应该记录这些操作，同时加强对大量数据导出、不合常规的时间安排以及异常存储位置的监控和警报措施。

2. 制定那些人们能够真正理解的数据保护政策。

没人愿意听到这样的话：“顺便说一下，我们会监控一切。”明确的数据保护政策应该这样表述：

• 用户活动监控所涵盖的内容包括哪些？
• 您记录了哪些用户操作？
• 您会保留日志多长时间呢？
• 谁可以访问这些日志呢？
• 该组织在调查过程中是如何使用日志的。

另外，如果你不做某些事情，那就明确说明。如果你不记录键盘输入或屏幕截图，那就说明这一点。如果你限制只有特定角色才能访问日志信息，那也一定要说明这一点。造成不信任的最快方式，就是使用那些听起来像是从从未使用过笔记本电脑的律师那里得来的模糊政策措辞。

3. 使用用户活动监控工具来集中处理日志信息，并实现相关数据的自动化关联处理。

集中化处理可以将分散的事件转化为可识别的、易于监控的信息。可以利用集中的平台（通常是SIEM工具）来监控用户活动，从而汇总各种审计记录。接着，可以将这些事件与身份识别、终端设备、网络以及SaaS日志中的信息进行关联分析。

4. 保护浏览器以及SaaS应用程序中的员工活动数据。

如果工作是在网络应用程序中进行的，那么可以将浏览器和SaaS系统的日志视为追踪用户活动和员工行为的第一手信息来源。