AI & cybersäkerhet / Defensiv AI / Anomalidetektering & UEBA

Defensiv AI

Anomalidetektering & UEBA

Defensiv AI

Statistiska och ML-baserade metoder för att identifiera avvikelser från baslinjebeteende hos användare, enheter och nätverkstrafik.

Regelbaserade detektionssystem är prediktiva: de hittar det de förberetts att leta efter. Angripare som lär sig reglerna kan operera nedanför tröskelvärdena, använda legitima verktyg och röra sig i en takt som aldrig triggar ett specifikt larm. Anomalidetektering och UEBA (User and Entity Behavior Analytics) är ett svar på denna begränsning. Istället för att fråga "matchar den här händelsen ett känt attackmönster" frågar de "avviker den här händelsen från vad den här användaren, enheten eller systemet normalt gör". Det är en fundamental skiftning i detektionslogik, och den fångar en kategori av hot som regelbaserade system strukturellt missar: insiderhot, komprometterade konton som används varsamt och laterala rörelser som håller sig innanför vad brandväggsregler och DLP-policys tillåter.

What you'll learn

Key takeaways from this topic.
  • Förklara skillnaden mellan regelbaserad detektion och anomalibaserad detektion, och varför de är kompletterande snarare än ersättare.
  • Beskriva hur UEBA bygger beteendebaselines och varför kontextualisering mot peer-grupper minskar false positives.
  • Förstå begränsningarna i anomalidetektering, inklusive baselinemanipulation och den oundvikliga avvägningen mellan känslighet och false positive-rate.

I korthet

En snabb mental modell innan du går på djupet.
Grundbegrepp
  • Beteendebaseline
  • Anomaliscoring
  • Peer-gruppskontext
Tekniker
  • Statistisk avvikelseanalys
  • ML-baserad riskpoängsättning
  • Tidsserieanalys
Verktyg
  • Microsoft Sentinel UEBA
  • Splunk UBA
  • Securonix

Grundidén

En signaturbaserad detektionsregel frågar: "ser den här händelsen ut som en attackhändelse?" En anomalidetektionsmodell frågar: "är den här händelsen onormal för den här enheten?" Skillnaden spelar stor roll för en specifik kategori av hot: angripare som använder legitima verktyg, legitima konton och legitima nätverksvägar, men på sätt som avviker från normala operationsmönster. En insider som laddar ner 50 000 dokument från SharePoint när de normalt laddar ner 200 per dag utlöser troligen inga signaturregler, men utlöser anomalidetektering.

UEBA-system (User and Entity Behavior Analytics) formaliserar detta tillvägagångssätt. De bygger beteendemodeller per användare och enhet över tid — vilka system de normalt åtkommer, vid vilka tidpunkter, varifrån, med vilken volym och med vilka privilegier. De poängsätter sedan varje inkommande händelse mot dessa baselines, och genererar en riskpoäng som representerar hur avvikande beteendet är. Analytiker ser en lista av användare och entiteter rankad efter avvikelse, inte av antal larm.

Det kompletterande förhållandet till regelbaserad detektion är viktigt att understryka. Anomalidetektering genererar false positives vid genuina förändringar i arbetsvanor, nya uppgifter och systemmigrationer. Regelbaserade system är effektivare och mer tillförlitliga för kända attackmönster. De flesta mogna SOC-miljöer kör båda parallellt och låter analytikerna använda anomaliscores som ett av flera input i en hotbedömning, inte som ett självständigt detektionssystem.

Hur det fungerar

En UEBA-pipeline börjar med datainsamling. Systemet aggregerar händelseloggar från identitetsproviders (Active Directory, Entra ID), endpoint-agenter, nätverksflödesdata, molnåtkomstloggar och applikationsloggar. Bredden av datakällor avgör täckningen: ett UEBA-system som bara ser Active Directory-inloggningar har en fragmenterad bild av användarbeteende.

Sedan byggnad av baseline. Över en kalibreringsperiod (typiskt 30-90 dagar) lär sig systemet vad som är normalt för varje användare, enhet och systemkombination. Det lär sig att analytikern alltid loggar in från Stockholm under kontorstid, aldrig åtkommer HR-system och typiskt arbetar med ett begränsat antal interna verktyg. Det lär sig att servern aldrig initierar utgående anslutningar och att domänkontrollanten sällan kommunicerar direkt med publika IP-adresser.

Under normal drift poängsätts varje inkommande händelse mot sin relevanta baseline. Ett avvikande beteende höjer enhetens riskpoäng. Isolerade avvikelser, som att logga in från ett nytt land en gång, höjer poängen marginellt. En sekvens av avvikelser, ovanlig inloggningsplats följt av åtkomst till ovanliga resurser följt av stor datanedladdning, höjer poängen exponentiellt. Microsoft Sentinel UEBA implementerar exempelvis ett dubbelt poängsystem: en poäng för avvikelse från användarens egna historik, och en poäng för avvikelse från peer-grupp (andra anställda med liknande roller och åtkomstprofiler). Det kombinerade resultatet är mer robust mot false positives än ett system som bara jämför mot individens egna historik.

Verklig påverkan

Hotkategorierna som anomalidetektering är speciellt väl lämpad för att ta upp är välkvalificerade. Ponemon Institute 2024 Cost of Insider Threats Report uppskattade den genomsnittliga kostnaden för en insider-threat-incident till 16,2 miljoner dollar. IBM X-Force 2025 Threat Intelligence Index fann att credential abuse, komprometterade konton som används på legitima sätt, stod för 30 procent av alla bekräftade intrång. CrowdStrike 2025 Global Threat Report dokumenterade att den genomsnittliga angriparens breakout-tid (tid från initial foothold till lateral rörelse till ett annat system) var 62 minuter. Båda kategorier kan flaggas av anomalidetektering innan de utlöser regelbaserade larm.

Begränsningarna är lika verkliga. En studie publicerad i Journal of Cybersecurity 2024 fann att UEBA-system i produktionsmiljöer genererade false positive-rates på mellan 15 och 40 procent av flaggade incidenter, beroende på tröskelkonfiguration. Insider threats med lång horisont, angripare som medvetet manipulerar sin baseline under månader, är dokumenterade och är ett känt blind spot för standardimplementationer. Anomalidetektering är ett kraftfullt verktyg, men inte ett heltäckande svar.

Warning signs

Mönster som är värda att undersöka vidare.
  • En användare åtkommer en resurs de aldrig tidigare öppnat, vid en ovanlig tid, från en ny plats, och laddar ner en volym av data som avviker från deras historiska norm — alla fyra faktorerna i kombination höjer risken exponentiellt mer än var och en för sig.
  • En tjänstekontoidentitet, som normalt bara autentiserar mot ett specifikt system, börjar autentisera mot ett nytt system eller begär åtkomst till resurser utanför sitt normala räckvidd.
  • En nätverksenhet initierar utgående anslutningar till en extern IP-adress under nätter eller helger när den historiskt bara haft intern kommunikation.

FÖRDJUPNING

Hur baselines byggs och varför det tar tid

Den viktigaste praktiska insikten om UEBA-system är att de är nästan värdelösa de första 30-90 dagarna av drift. Under denna kalibreringsperiod samlar systemet in data för att etablera vad som är normalt. Att distribuera ett UEBA-system och förvänta sig detektioner dag ett är ett recept för falsk säkerhet.

Baseline-konstruktionen är inte en enda statisk beräkning. Väl kalibrerade system upprätthåller rullande baselines som kontinuerligt uppdateras för att reflektera legitima förändringar i arbetsvanor, nya ansvarsområden och säsongsvariation. En säljrepresentant vars mönster förändras dramatiskt varje kvartal vid targets-deadline kräver en baseline som tar hänsyn till denna regelbundna cykelvariation, annars genererar varje kvartalsslut en ström av falska positiva.

Baseline-manipulation är det mest sofistikerade motståndet mot UEBA: en insider som medvetet gradvis utökar sina åtkomstmönster under månader för att inkorporera det avvikande beteendet i sin baseline. Skyddet mot detta är att hålla baselines mot längre historiska fönster (90-180 dagar snarare än 30), att flagga konsistent månadsvis utvidgning av åtkomstmönster som en avvikelse i sig, och att kombinera UEBA-poäng med Identity Governance-data om åtkomst som beviljats kontra åtkomst som faktiskt används.

Peer-grupper och kontextualisering

Ett UEBA-system som bara jämför en användares beteende med deras egna historik missar en viktig kontext: vad är normalt för den användarens roll och ansvarsområde? En ny CISO som börjar åtkomma säkerhetssystem för hela organisationen kan se dramatiskt avvikande ut mot sin personliga baseline (hon har aldrig gjort det förut) men vara helt normal jämfört med alla sina peer-grupp-föregångare.

Peer-gruppsbaserad normalisering är lösningen. UEBA-system som Microsoft Sentinel UEBA och Securonix segmenterar användare i peer-grupper baserat på jobbfunktion, avdelning, åtkomstnivå eller en kombination. En händelse som är anomalös mot individens personliga baseline men normal mot peer-gruppen ger ett lägre riskbidrag än en händelse som är anomalös mot båda.

Det praktiska arbetet med att konfigurera peer-grupper är underskattat. Automatisk peer-gruppstilldelning baserad på HR-data om jobbfunktion ger ofta grova approximationer: en junior analytiker och en senior CISO kan kategoriseras i samma "säkerhetsteam"-grupp med mycket olika normala åtkomstmönster. Organisationer som investerar i finkornad peer-gruppskonfiguration, eventuellt manuellt justerad av IAM-teamet, uppnår konsekvent lägre false positive-rates.

Riskpoängsättningens mekanik

Hur en UEBA-plattform kombinerar enskilda avvikelsesignaler till en meningsfull riskpoäng avgör systemets praktiska användbarhet. De flesta kommersiella system implementerar en additiv eller multiplikativ poängsättning med tidsfönsterlogik.

I additiv poängsättning bidrar varje anomal händelse med en viss poäng till en rullande totalsumma. Poängen avtar över tid om inga ytterligare avvikelser inträffar. Det genererar en "heat level" per entitet som analytikern kan övervaka. Problemet är att oberoende legitimt ovanliga händelser (resa, ny projekt, systemmigration) adderar till en poäng som inte representerar ett verkligt hot.

I multiplikativ eller entitetsbaserad kedjepoängsättning triggar vissa kombinationer av händelser en dramatiskt högre poäng än summan av de enskilda händelserna. En ovanlig inloggningsplats multipliceras med ovanlig resursåtkomst multipliceras med hög datanedladdningsvolym. Microsoft Sentinel UEBA och Splunk UBA implementerar varianter av detta mönster, med olika multiplieringsfaktorer för olika kombinationer av avvikelsekategorier.

Den operativa konsekvensen för analytiker är att förstå plattformens poängsättningslogik tillräckligt bra för att bedöma om en hög poäng representerar en genuint alarmerande kedja av beteenden eller en slumpmässig ansamling av oberoende avvikelser. Det kräver att analytiker kan granska de specifika händelserna bakom poängen, inte bara se ett tal.

Insider-hot-utredning steg för steg

En typisk UEBA-drivna insider-hot-utredning börjar med att systemet eskalerar en entitet vars riskpoäng överstigit ett konfigurerbart tröskel. Analytikern granskar de händelser som bidragit till poängen i kronologisk ordning: initial trigger, på vilket sätt var det avvikande, vilken resurs berördes, vad hände sedan.

Analytikern korrelerar UEBA-signalen med andra datakällor: HR-system för att kontrollera om personen sagt upp sig, nyligen fått negativ feedback eller haft en roller förändring som kan förklara beteendet legitimt. DLP-loggar för att se om data faktiskt lämnat organisationen. Identity Governance-data för att se om åtkomsten som utnyttjades var auktoriserad eller excess-åtkomst.

Om utredningen bekräftar ett legitimt hot eskaleras ärendet till HR, Legal och en forensisk undersökning. Viktigt är att bevara loggar och om möjligt ta en forensisk kopia av enheten innan personen blir informerad, om det är juridiskt tillåtet i jurisdiktionen.

Om utredningen är inconclusive markeras incidenten och personen för förhöjd övervakning under en period. UEBA-poäng ackumuleras mot en historisk bakgrund som gör nästa avvikelse enklare att kontextualisera.

Begränsningar och vad anomalidetektering inte fångar

Anomalidetektering är dålig på hot som är konsekvent ovanliga men aldrig avviker från sin etablerade ovanliga baseline. En angripare som komprometterat ett konto och omedelbart ändrat sina beteendemönster drastiskt syns; en angripare som är tålmodig nog att gradvis introducera de avvikande beteendena under månader syns inte.

Den andra viktiga begränsningen är att anomalidetektering inte inherent förstår intent. En användare som laddar ner stora mängder data för att förbereda en legitim presentation kan se identisk ut som en insider som exfiltrerar data. Systemet flaggar avvikelse från baseline, inte skadlig intent. Det är därför analytikern är nödvändig i varje icke-automatiserat steg av utredningen.

Slutligen är anomalidetektering resurskrävande att kalibrera och underhålla. Organisationer utan dedikerad personal för att regelbundet granska och justera peer-grupper, tröskelvärden och baseline-parametrar uppnår typiskt sett höga false positive-rates som leder till att analytiker börjar ignorera systemet, vilket återskaper det larmtrötthetsproblem systemet var tänkt att lösa.