UEBA detects unusual behavior by analyzing deviations from normal patterns. For example, if a user who doesn't typically download files suddenly starts downloading large amounts, UEBA flags it as an anomaly. It can also monitor machine behavior, such as detecting a surge in server access requests from a company device.

Why do organizations use UEBA tools?

Organizations use UEBA tools because traditional security solutions, like firewalls and intrusion detection systems, are no longer sufficient to protect against modern threats. UEBA tools help by detecting anomalous user and entity behaviors that could indicate security breaches, such as insider threats or credential-based attacks, which are often missed by conventional defenses. These tools provide a more proactive approach to threat detection, especially for advanced persistent threats (APTs) and sophisticated attack methods.

Cybersicherheit Identität und Zugriff UEBA

Die besten Open-Source-UEBA-Tools und kommerzielle Alternativen

Cem Dilmegani

mit

Sena Sezer

aktualisiert am Mär 26, 2026

Siehe unsere ethischen Normen

Loading Chart

Im Kern identifizieren UEBA-Lösungen Muster in Daten, egal ob es sich um Echtzeitdaten oder historische Datensätze handelt.

Kommerzielle UEBA-Tools wie ManageEngine Log360 halten ihre proprietären ML-Modelle geschlossen. Der Zugriff auf diese Modelle ermöglicht es Analysten, relevante Muster aus den Daten zu extrahieren und die Prozesse zur Anomalieerkennung zu verfeinern.

Open-Source-UEBA-Tools geben den Nutzern vollen Zugriff auf diese Modelle und ermöglichen ihnen so die Replikation der Mustererkennung für eine gezieltere Anomalieerkennung.

Open-Source-UEBA-Tools

Nach Durchsicht der Dokumentation jedes Open-Source-UEBA-Frameworks und -Tools habe ich die führenden Open-Source-Verhaltensanalysetechnologien ausgewählt, die standardmäßige SIEM-ähnliche Funktionen, Alarmierung, Unterstützung für das MITRE ATT&CK Threat Intelligence Framework und API-basierte Datenaufnahme aus Datenquellen bieten.

Je nachdem, ob sie integrierte UEBA-Funktionen bieten, teile ich sie in folgende Kategorien ein:

UEBA-Kernwerkzeuge: OpenUBA und Graylog
Ergänzende UEBA-Tools: Wazuh

UEBA-Kernwerkzeuge: OpenUBA und Graylog

Die Kernwerkzeuge von UEBA bieten ein Repository mit sofort einsatzbereiten Modellen, Machine-Learning-Verfahren und Modellen zur Verhaltensprofilierung, um anomales Benutzer- und Entitätsverhalten zu identifizieren und zu analysieren. Diese Werkzeuge erfassen Protokolle aus verschiedenen Quellen, speichern sie in Datenbanken und integrieren sie in den Elastic Stack (Elasticsearch, Kibana, Logstash) zur weiteren Verarbeitung und Analyse.

Graylog erfasst Protokolle von verschiedenen Servern mithilfe von Drittanbieter-Agenten (z. B. Filebeat) und kann diese Protokolle mit seinem schlanken Graylog Sidecar-Agenten zentral konfigurieren. Nach der Protokollerfassung steht über die Graylog-Oberfläche eine KI-basierte Anomalieerkennung zur Verfügung.

OpenUBA erfasst Protokolle von Servern und externen Protokollierungsdiensten. Nach der Erfassung können die Protokolle mithilfe integrierter ML- oder Verhaltensprofilierungsmodelle auf ungewöhnliches Verhalten analysiert werden. Für Visualisierung und Analyse ist die Integration mit TensorFlow, Keras, Scikit-Learn und Elasticsearch möglich. Das Projekt befindet sich in der frühen Entwicklungsphase (Pre-Alpha).

Ergänzende UEBA-Tools: Wazuh

Ergänzende UEBA-Tools nutzen Monitoring und Datenanalyse, um Anomalien bei Benutzern und Entitäten zu erkennen. Durch die Integration von Big-Data-Technologien wie Apache Spark mit Engines wie beispielsweise Elasticsearch ermöglichen sie eine zentrale Protokollanalyse und Anomalieerkennung.

Wazuh überwacht Telemetriedaten, darunter Metriken, Protokolle und Traces. Sie können Server direkt überwachen oder AWS zur Überwachung von Cloud-Diensten nutzen. Die Ergebnisse werden im Wazuh-Dashboard visualisiert.

Vergleichen Sie kostenlose und Open-Source-UEBA-Tools.

Agentenbasierte Protokollerfassung

❌: Erfordert die Integration von Drittanbieter-Agenten .

Die integrierte agentenbasierte Protokollerfassung ermöglicht es einer Plattform, Protokolldaten direkt von Endpunkten, Servern oder Geräten mithilfe eigener Agenten zu erfassen, ohne Tools von Drittanbietern, zur zentralen Analyse und Überwachung.

Vordefinierte Reaktionsaktionen und benutzerdefinierte Playbook-Muster

Die aufgeführten Tools bieten SOAR- Integrationen (via API/benutzerdefinierte Integrationen), um Workflows wie das Versenden von Benachrichtigungen, das Erstellen von Tickets oder die Reaktion auf Vorfälle basierend auf erkannten Anomalien auszulösen. Graylog und Wazuh bieten vordefinierte Reaktionsaktionen und ermöglichen so die Workflow-Automatisierung ohne SOAR-Integrationen.

Vordefinierte Reaktionsaktionen werden automatisch auf Basis von Protokolldaten ausgelöst und ermöglichen so eine proaktive Bedrohungserkennung und Maßnahmen wie Alarmierung, Sperrung von IPs oder Quarantäne von Systemen.
Mithilfe individueller Playbook-Muster können Sicherheitsoperatoren gezielte Reaktionen auslösen, z. B. Teams alarmieren oder den Zugriff sperren, wenn verdächtiges Verhalten erkannt wird.

Sicherheitswartung

Die Wartung der Unternehmenssicherheit unterstützt die Protokollerfassung, indem sie sicherstellt, dass Sicherheitsmaßnahmen aktiv durchgesetzt, überwacht und aktualisiert werden durch:

Zentralisierte Steuerung und Aufsicht
Konsistente Protokollierungskonfigurationen
Regelmäßige Updates und Patches für Protokollerfassungstools verhindern die Ausnutzung von Sicherheitslücken.

Standardintegrationen

OpenUBA

OpenUBA ist ein SIEM-unabhängiges UEBA-Framework für Sicherheitsanalysen. Es arbeitet unabhängig von Ihrem SIEM und ruft Daten direkt aus Datenspeichern ab.

OpenUBA nutzt Spark und Elasticsearch, um Daten aus verschiedenen Quellen in großem Umfang zu verarbeiten und zu erfassen. Es beinhaltet eine Modellbibliothek/Registry ähnlich wie Docker Hub, die es Entwicklern und Sicherheitsanalysten ermöglicht, in einem Modell-Repository zu suchen und ihre Modelle mit der Community zu teilen.

Hauptmerkmale:

Visueller Regelgenerator: Analysten verknüpfen registrierte Modelle mithilfe logischer Operatoren auf einer interaktiven Arbeitsfläche, um Erkennungsregeln ohne Programmierung zu erstellen. Die Regeln werden als versioniertes JSON serialisiert und sind somit nachvollziehbar und reproduzierbar. ¹
Community Model Hub: Ein Modellmarktplatz auf openuba.org bietet sofort einsatzbereite Anomalieerkennungsmodelle, die vom Kernteam und der Community beigesteuert wurden.
Nimmt Protokolle von Servern und Protokollerfassungsagenten von Drittanbietern auf.
Analyse der erfassten Daten auf abnormale Verhaltensweisen mithilfe integrierter ML- oder Verhaltensprofilierungsmodelle
Integriert sich mit TensorFlow, Keras, Scikit-Learn und Elasticsearch für Visualisierung und Analyse.

Graylog

Graylog vereint SIEM, UEBA und Anomalieerkennung in seiner Plattform. Graylog Server umfasst:

Die Graylog-Anwendung, die Protokolle aus verschiedenen Quellen entgegennimmt und speichert.
Elasticsearch Datenbank
MongoDB für Konfigurationsdaten (Benutzerkonten, gespeicherte Suchanfragen usw.).

Die Lösung umfasst über 50 vorgefertigte Sicherheitsszenarien, die auf dem MITRE ATT&CK-Framework und realen Angriffsbeispielen basieren. ²

Graylog integriert sich mit Office 365, Azure, GCP, AWS, Okta, Palo Alto Networks, F5, CrowdStrike und Salesforce.

Wazuh

Wazuh ist eine einheitliche XDR- und SIEM-Plattform für lokale, virtualisierte, containerisierte und Cloud-Umgebungen. Ein auf den überwachten Systemen eingesetzter Endpoint-Security-Agent erfasst und analysiert Daten und leitet diese an einen zentralen Management-Server weiter.

Visualisierung von Google Cloud-Ereignissen auf dem Wazuh-Dashboard:

Quelle: Wazuh ³

Hauptmerkmale:

Intrusion Detection: Erkennt Malware und versteckte Dateien mithilfe eines signaturbasierten Ansatzes, der Protokolldaten auf Anzeichen einer Kompromittierung analysiert.
Protokolldatenanalyse: Liest Betriebssystem- und Anwendungsprotokolle und leitet sie zur regelbasierten Analyse an einen zentralen Manager weiter.
Dateiintegritätsüberwachung: Überwacht Dateisysteme auf Änderungen von Inhalt, Berechtigungen, Eigentümerschaft und Attributen. Protokolliert Benutzer- und Anwendungsaktionen zur Sicherstellung der PCI-DSS-Konformität.
Reaktion auf Vorfälle: Blocks Bedrohungen und führt Systemabfragen durch, um Indikatoren für eine Kompromittierung zu identifizieren.
MCP/KI-Integration (2026): Mehrere Open-Source-MCP-Server lassen sich nun in Wazuh, Claude, ChatGPT und andere KI-Assistenten integrieren. Dadurch sind Sicherheitsabfragen in natürlicher Sprache möglich, die kritische Schwachstellen auf Webservern aufzeigen, ohne dass API-Aufrufe erforderlich sind. Die umfassendste Implementierung unterstützt Wazuh 4.8.0–4.14.4. ⁴

Kommerzielle UEBA-Tools

Kommerzielle UEBA-Tools bieten sofort einsatzbereite Funktionen für die Verhaltensanalyse von Nutzern, die ohne umfangreiche Anpassungen in bestehende Umgebungen integriert werden können.

Führende kommerzielle Anbieter:

ManageEngine Log360: Kombiniert SIEM-Protokollerfassung mit Verhaltensanalysen.
Exabeam: Eine Verhaltensanalyseplattform mit UEBA, die ab Januar 2026 auch das Verhalten von KI-Agenten abdeckt. Ideal für große, komplexe Umgebungen.
IBM Security QRadar: Bietet UBA Risikoprofile und liefert so einen tieferen Kontext für die Bedrohungserkennung.
Teramind: Kombiniert UEBA mit DLP, mit Fokus auf die Verhinderung von Datenlecks und die Überwachung von Mitarbeitern.

Open-Source-UEBA-Tools vs. kommerzielle UEBA-Tools

Kommerzielle Anbieter beginnen typischerweise mit einer oder mehreren Open-Source-Technologien, Mustererkennung und Datenbankaktualisierungen für neue Anomaliemuster und fügen dann proprietäre Automatisierungs- und vorkonfigurierte Erkennungsmodelle hinzu.

1. Vorkonfigurierte Anomalieerkennungsmodelle : Kommerzielle Tools bieten diese standardmäßig an. Open-Source-Tools erfordern in der Regel, dass Benutzer ihre eigenen Modelle erstellen und konfigurieren, obwohl Graylog (kostenpflichtige Versionen) und Wazuh einige vordefinierte Funktionen bieten.

2. Automatisierte Reaktionsabläufe: Kommerzielle Tools lösen vordefinierte Aktionen direkt aus. Open-Source-Tools erfordern in der Regel SOAR-Integrationen oder benutzerdefinierte Skripte, wobei Wazuh und Graylog (kostenpflichtig) einige vordefinierte Aktionen beinhalten.

3. Automatisierte Mustererkennung : Kommerzielle Tools automatisieren dies mithilfe ausgefeilter ML-Modelle. Open-Source-Tools erfordern hingegen eine stärkere manuelle Konfiguration und die Erstellung individueller Modelle.

4. Verhinderung von Datenverlust (DLP) : Kommerzielle Lösungen beinhalten DLP mit Geräte-, Standort- und Netzwerkkontext. Open-Source-Lösungen benötigen zusätzliche Tools oder Integrationen, um dies zu ermöglichen.

5. Compliance-Berichterstattung : Kommerzielle Tools bieten integrierte Berichtsfunktionen für DSGVO, HIPAA, PCI-DSS und SOX. Open-Source-Tools erfordern individuelle Anpassungen oder Add-ons von Drittanbietern.

6. Integrationen von Drittanbietern : Kommerzielle Tools beinhalten vorkonfigurierte Konnektoren zu SIEM-, SOAR- und Antivirenplattformen. Open-Source-Tools integrieren sich über benutzerdefinierte API-Verbindungen.

FAQs

UEBA erkennt ungewöhnliches Verhalten durch die Analyse von Abweichungen von normalen Mustern. Wenn beispielsweise ein Benutzer, der normalerweise keine Dateien herunterlädt, plötzlich große Datenmengen herunterlädt, kennzeichnet UEBA dies als Anomalie. Es kann auch das Verhalten von Rechnern überwachen und beispielsweise einen plötzlichen Anstieg der Serverzugriffsanfragen von einem Firmengerät erkennen.

Unternehmen setzen UEBA-Tools ein, da herkömmliche Sicherheitslösungen wie Firewalls und Intrusion-Detection-Systeme (IDS) nicht mehr ausreichen, um vor modernen Bedrohungen zu schützen. UEBA-Tools helfen, indem sie ungewöhnliches Benutzer- und Entitätsverhalten erkennen, das auf Sicherheitslücken wie Insider-Bedrohungen oder Angriffe auf Anmeldeinformationen hindeuten kann. Solche Angriffe werden von herkömmlichen Abwehrmechanismen oft übersehen. Diese Tools ermöglichen einen proaktiveren Ansatz zur Bedrohungserkennung, insbesondere bei Advanced Persistent Threats (APTs) und komplexen Angriffsmethoden .

Weiterführende Literatur

Referenzlinks

GitHub - GACWR/OpenUBA: A robust, and flexible open source User & Entity Behavior Analytics (UEBA) framework used for Security Analytics. Developed with luv by Data Scientists & Security Analysts from the Cyber Security Industry. [BETA] · GitHub

GitHub - wazuh/wazuh: Wazuh - The Open Source Security Platform. Unified XDR and SIEM protection for endpoints and cloud workloads. · GitHub

GitHub - gensecaihq/Wazuh-MCP-Server: AI-powered security operations for Wazuh SIEM—use any MCP-compatible client to ask security questions in plain English. Faster threat detection, incident triage, and compliance checks with real-time monitoring and ano

Cem Dilmegani

Leitender Analyst

Folgen auf

Cem ist seit 2017 leitender Analyst bei AIMultiple. AIMultiple informiert monatlich Hunderttausende von Unternehmen (laut similarWeb), darunter 55 % der Fortune 500. Cems Arbeit wurde von führenden globalen Publikationen wie Business Insider, Forbes und der Washington Post, von globalen Unternehmen wie Deloitte und HPE sowie von NGOs wie dem Weltwirtschaftsforum und supranationalen Organisationen wie der Europäischen Kommission zitiert. Weitere namhafte Unternehmen und Ressourcen, die AIMultiple referenziert haben, finden Sie hier. Im Laufe seiner Karriere war Cem als Technologieberater, Technologieeinkäufer und Technologieunternehmer tätig. Über ein Jahrzehnt lang beriet er Unternehmen bei McKinsey & Company und Altman Solon in ihren Technologieentscheidungen. Er veröffentlichte außerdem einen McKinsey-Bericht zur Digitalisierung. Bei einem Telekommunikationsunternehmen leitete er die Technologiestrategie und -beschaffung und berichtete direkt an den CEO. Darüber hinaus verantwortete er das kommerzielle Wachstum des Deep-Tech-Unternehmens Hypatos, das innerhalb von zwei Jahren von null auf einen siebenstelligen jährlichen wiederkehrenden Umsatz und eine neunstellige Unternehmensbewertung kam. Cems Arbeit bei Hypatos wurde von führenden Technologiepublikationen wie TechCrunch und Business Insider gewürdigt. Er ist ein gefragter Redner auf internationalen Technologiekonferenzen. Cem absolvierte sein Studium der Informatik an der Bogazici-Universität und besitzt einen MBA der Columbia Business School.

Vollständiges Profil anzeigen

Recherchiert von

Sena Sezer

Branchenanalyst

Folgen auf

Sena ist Branchenanalystin bei AIMultiple. Sie hat ihren Bachelor-Abschluss an der Bogazici-Universität erworben.

Vollständiges Profil anzeigen

Seien Sie der Erste, der kommentiert

Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich.

Als nächstes lesen

LAPPENApr 26

MCP

KI-Programmierung

KI-Hardware

KI-Agenten

LLMs

Grundlagen der KI

LAPPEN

Agentische KI-Frameworks

Datensicherheit

Firewall

Sicherheitstools

Identitäts- und Zugriffsmanagement

Datenschutz

Cyberbedrohungen

Web-Proxys

Web-Data-Scraping

Datenerfassung

Datenwissenschaft

Synthetische Daten

Datenqualität

Analysen

Workload-Automatisierung

Verwalteter Dateitransfer

RMM

Beobachtbarkeit

E-Commerce

CRM

Branchensoftware