What is a UEBA system used for?

A UEBA system identifies and responds to cybersecurity threats by monitoring user and network activity. It aids in detecting anomalous behaviors, misconfigurations, and potential vulnerabilities, enabling security teams to take the necessary steps to secure their systems.

What are the three pillars of UEBA?

Gartner defines the three pillars of UEBA (user and entity behavior analytics) as follows:1. Use cases: UEBA systems should monitor, detect, and alert to deviations in user and entity activity across multiple use cases.2. Data sources: UEBA systems should be able to retrieve data from generic data repositories or via a SIEM without deploying agents directly in the IT environment.3. Analytics: To discover anomalies, UEBA uses several analytical tools, such as statistical models and machine learning.

How do UEBA tools help organizations?

UEBA tools collect logs and alerts from all connected data sources and analyze them to create baseline behavioral profiles of your organization's entities (e.g., users, hosts, IP addresses, and apps) over time and across peer groups.These tools can leverage anomaly-based threat detection to provide comprehensive user and entity insights into unusual activity and help you determine whether an asset has been hacked. This helps SOCs to prioritize investigation and incident response. For more: Incident response tools.Note that, unlike user behavior analytics (UBA), UEBA has an extended scope. While UBA focuses only on evaluating user activity, UEBA encompasses the behavior of both users and network entities, including:-network devices-routers-databases

Cybersicherheit Identität und Zugriff UEBA

Die 16 wichtigsten UEBA-Anwendungsfälle für heutige SOCs im Jahr 2026

Cem Dilmegani

mit

Sena Sezer

aktualisiert am Apr 2, 2026

Siehe unsere ethischen Normen

Herkömmliche Sicherheitsmaßnahmen wie Web-Gateways, Firewalls , Intrusion-Prevention-Systeme (IPS ) und VPNs reichen nicht mehr aus, um moderne Cyberangriffe abzuwehren. Angreifer nutzen routinemäßig gültige Zugangsdaten, die von regelbasierten Systemen nicht erkannt werden.

UEBA-Systeme schließen diese Lücke, indem sie neben menschlichen Nutzern auch Nicht-Benutzer-Entitäten überwachen und mithilfe von maschinellem Lernen Verhaltensmuster festlegen und Abweichungen erkennen. Dies liefert SOC-Teams wertvolle Einblicke in die Verhaltenssicherheit, verbessert Zero-Trust-Initiativen und verkürzt die Zeit zwischen Kompromittierung und Eindämmung.

1. Erkennung von böswilligen Insidern

Böswillige Insider sind interne oder ehemalige Mitarbeiter, die einem Unternehmen absichtlich Schaden zufügen, indem sie ihren legitimen Zugriff auf Systeme und Daten missbrauchen. Sie gehören zu den am schwersten zu erkennenden Bedrohungen, gerade weil ihre Aktivitäten mit dem normalen Geschäftsbetrieb verschmelzen.

UEBA identifiziert diese Personen nicht durch das Markieren spezifischer Ereignisse, sondern durch die Korrelation von Verhaltensabweichungen mit Selbst- und Peergroup-Baselines, wodurch Muster erkannt werden, die kein einzelner Logeintrag aufdecken würde:

Insideraktivitäten, die vom bisherigen Verhalten des Nutzers oder seiner Peergroup abweichen
Verdächtige oder böswillige Aktivitätsabläufe
Korrelierte Warnmeldungen von externen Tools (DLP, CASB, EDR)

Die Kosten durch Insiderbedrohungen erreichten 2026 jährlich 19,5 Millionen US-Dollar pro Unternehmen, ein Anstieg um 12 % gegenüber 2025 und um 123 % seit 2018. Insider-Vorfälle sind mittlerweile für rund 30 % aller Datenschutzverletzungen verantwortlich. Die durchschnittliche Eindämmungszeit verbesserte sich bis 2026 auf 67 Tage, gegenüber 86 Tagen im Jahr 2023, was mit Investitionen in KI-gestützte Verhaltenserkennung korreliert. ¹

Praxisbeispiel: Eine CASB-API- und UEBA-Lösung erkannte einen Insider, der sich über zahlreiche IP-Adressen an geografisch unterschiedlichen Standorten authentifizierte. Die Lösung generierte Warnmeldungen zu „Zugriffsversuchen aus bestimmten IP-Blöcken“ und „Risikoländern“ basierend auf Verhaltensabweichungen, nicht aufgrund expliziter Regelverstöße. ²

Einschränkungen: Der Insider-Bedrohungsbericht 2026 des Cyber Strategy Institute dokumentiert, dass schwerwiegende Vorfälle zunehmend auf unauffällige Techniken setzen – legitime Befehle der Administratorkonsole, Diebstahl von Session-Cookies durch Infostealer und Social Engineering im Zusammenhang mit MFA-Helpdesks. Diese Techniken lösen erst dann Verhaltensalarme aus, wenn Daten das Unternehmen bereits verlassen haben. UEBA bleibt für die Erkennung unerlässlich, sollte aber mit Identitätsmanagement und bedarfsgerechten Zugriffskontrollen kombiniert werden, um Datenexfiltration präventiv zu verhindern. ³

2. Erkennung von kompromittierten Benutzerkonten

Die Kompromittierung von Konten, bei der gültige Zugangsdaten gestohlen und von Unbefugten missbraucht werden, ist eines der häufigsten Angriffsmuster, denen Unternehmen ausgesetzt sind. Dies umfasst die Erkennung gemeinsam genutzter Konten, Credential Stuffing und allgemeinen Kontobetrug.

UEBA erkennt, ob ein Konto von einer anderen Person als dem rechtmäßigen Inhaber betrieben wird, indem es normales Verhalten simuliert und Abweichungen kennzeichnet:

Anomale Active Directory-Aktivität
Deaktivierte Konten, die aktiv werden
Kontowiederherstellung von ungewöhnlichen Standorten
Aktivitäten von gekündigten Nutzern

Praxisbeispiel: Eine DLP- und UEBA-Lösung erkannte einen Benutzer, der über 2.000 Dateien von einer unternehmensweiten OneDrive-Instanz heruntergeladen und über 400 Dateien auf sein persönliches Laufwerk Google hochgeladen hatte. Zu den erkannten Aktivitäten zählten potenziell sensible Dateiverschiebungen, Verschiebungen von Unternehmensdaten, ein sprunghafter Anstieg der von diesem Benutzer in seine persönlichen Apps hochgeladenen sensiblen Daten sowie ein ungewöhnlich hoher Anstieg des Downloadvolumens – alles innerhalb eines kurzen Zeitraums. ⁴

3. Erkennung von Gerätekompromittierungen

Die Erkennung von mit Malware infizierten Endpunkten unterscheidet sich vom Anwendungsfall kompromittierter Konten: Schädliches Verhalten kann von einem Host ausgehen, ohne dass eine Verbindung zu einem bestimmten Benutzerkonto besteht. Malware kann unbemerkt über Systemprozesse agieren.

UEBA erkennt Gerätekompromittierungen durch verhaltensbasierte Modellierung, unabhängig davon, wie die ursprüngliche Infektion erfolgte, indem es Änderungen in folgenden Bereichen verfolgt:

Kommunikationsmuster zwischen Geräten
Kommunikation mit externen Domänen oder IP-Adressen, die nicht in der historischen Basislinie des Geräts enthalten sind
Domainmerkmale (neu registrierte Domains, ungewöhnliche TLDs, Domainnamen mit hoher Entropie)

Praxisbeispiel: Die Anwaltskanzlei Winthrop & Weinstine setzte eine UEBA-Lösung ein, um Cyberangriffe zu erkennen und darauf zu reagieren. Durch die Zentralisierung von Sicherheitsdaten und die Visualisierung von IP-Kommunikationsmustern identifizierte die Kanzlei Host- und Gerätekompromittierungen, die die Perimeterverteidigung umgangen hatten. ⁵

4. Erkennung von Seitwärtsbewegungen

Bei der lateralen Bewegung hat ein Angreifer bereits über eine vertrauenswürdige Identität anfänglichen Zugriff erlangt und weitet seine Reichweite systematisch im gesamten Netzwerk aus, indem er seine Berechtigungen erweitert, auf neue Ressourcen zugreift und sich für die Datenexfiltration oder den Einsatz von Ransomware positioniert.

UEBA erkennt laterale Bewegungen, indem es Verhaltenstrends von Nutzern und Entitäten überwacht und Abweichungen in folgenden Bereichen identifiziert:

Muster der Privilegienausweitung
Zugriff auf sensible Ressourcen außerhalb des normalen Benutzerbereichs
Anomale Authentifizierungssequenzen in verschiedenen Systemen

Zu den spezifischen Seitwärtsbewegungstechniken, die UEBA erkennen kann, gehören:

Pass-the-Hash (PtH): Diebstahl von Anmeldeinformationen, bei dem ein Angreifer einen abgefangenen Authentifizierungs-Hash verwendet, um sich als ein Benutzer auszugeben.
Brute-Force-Anmeldungen: wiederholte fehlgeschlagene Authentifizierungsversuche über verschiedene Konten hinweg.
Internes Spear-Phishing: Ungewöhnliche E-Mail-basierte Kommunikation zwischen internen Konten
SSH-Hijacking: Unbefugte Nutzung aktiver SSH-Sitzungen

5. Identifizierung von Verstößen gegen Netzwerkrichtlinien

Organisationen regeln die gemeinsame Nutzung von Benutzerkonten, den Datentransfer und den Gerätezugriff mithilfe von Richtlinien, doch deren Durchsetzung im großen Umfang ist schwierig. UEBA automatisiert die Erkennung von Richtlinienverstößen, die andernfalls eine manuelle Überprüfung erfordern würden.

Gleichzeitige Anmeldungen von geografisch weit entfernten Standorten: UEBA kennzeichnet nahezu gleichzeitige Authentifizierungen von Standorten, die physisch nicht aufeinander abgestimmt werden können, was auf eine gemeinsame Nutzung von Konten oder eine Kompromittierung von Anmeldeinformationen hindeutet.
Ungewöhnliche Datenübertragungen: UEBA erkennt plötzliche, große Datenbewegungen und -übertragungen an nicht autorisierte Netzwerke, die gegen Datenschutzrichtlinien verstoßen.
Nicht autorisierte Geräteverbindungen: Unbekannte oder nicht registrierte Geräte, die versuchen, auf das Netzwerk zuzugreifen, werden in BYOD-Umgebungen als kritisch eingestuft.
RBAC-Verletzungen : UEBA analysiert Zugriffsmuster pro Rolle und identifiziert, wann Benutzer auf Dateien oder Systeme zugreifen, die über ihre definierten Berechtigungen hinausgehen.

6. Erkennung von Datenexfiltration

Datenexfiltration stellt selbst dann ein Risiko dar, wenn Konten und Endpunkte scheinbar sicher sind, da autorisierte Benutzer mit legitimen Zugriffsrechten dennoch Daten stehlen können. UEBA ist hier unerlässlich, da Standard-DLP-Tools die Datenexfiltration durch vertrauenswürdige Benutzer innerhalb ihrer normalen Berechtigungen oft nicht erkennen.

UEBA erkennt Datenverlust oder -diebstahl über verschiedene Wege:

Netzwerkinfrastruktur (Firewalls und Proxys)
Cloud-Speicherdienste (persönliche Konten, Schatten-IT)
Wechseldatenträger (USB-Geräte)
E-Mail (ungewöhnlich hohes Anhangvolumen, externe Empfänger)

UEBA legt fest, wie ein „normales“ Datentransferverhalten für jeden Benutzer und jede Rolle aussieht, und kennzeichnet Anomalien in Bezug auf Volumen, Ziel, Zeitpunkt und Dateitypmuster, die ein regelbasiertes DLP nicht erkennen würde, wenn der Benutzer Zugriffsrechte auf die Daten hat.

7. Verhinderung des Missbrauchs privilegierter Zugriffe

Privilegierte Konten, die von Systemadministratoren, Datenbankadministratoren und Führungskräften genutzt werden, haben weitreichenden Zugriff auf sensible Systeme. Ihre Kompromittierung oder ihr Missbrauch hat gravierende Folgen: Datenlecks, Systemausfälle oder die vollständige Kompromittierung der Domäne.

UEBA überwacht kontinuierlich das Verhalten privilegierter Benutzer und kennzeichnet diese:

Zugriff auf sensible Daten oder Systeme außerhalb des normalen Arbeitsbereichs des Benutzers
Aktivitäten zu ungewöhnlichen Zeiten (außerhalb der regulären Arbeitszeiten, an Wochenenden und Feiertagen)
Ungewöhnliche Befehlssequenzen oder administrative Aktionen, die von der bisherigen Vorgehensweise des Benutzers abweichen
Versuche zur Rechteausweitung, die über die etablierten Nutzungsmuster des Kontos hinausgehen

8. Automatisierung und Untersuchung von Sicherheitswarnungen

SOC-Teams sind mit einer Flut von Warnmeldungen konfrontiert: Anti-Malware-, DLP- und Netzwerkzugriffskontroll-Tools erhalten oft zu viele Warnmeldungen, denen es an ausreichendem Kontext für eine effiziente Priorisierung mangelt. Warnmeldungen, denen Host, Dateihash, Benutzeridentität oder die vorherige Aktivitätskette fehlen, erfordern stundenlange manuelle Untersuchungen pro Vorfall.

UEBA löst dieses Problem, indem es Warnmeldungen von Drittanbietern mit Verhaltenskontext anreichert und es Analysten ermöglicht, durch Eingabe einer einzigen Warnmeldungs-ID ein vollständiges Bild davon zu erhalten, wer, was und wann passiert ist.

Ab 2026 fließen UEBA-Risikobewertungen zunehmend in automatisierte, agentenbasierte SOC-Workflows ein. KI-Agenten führen erste Untersuchungsschritte durch, validieren Anomalien und leiten nur bestätigte Hochrisikofälle an menschliche Analysten weiter. Laut dem WEF Global Cybersecurity Outlook 2026 haben bereits 77 % der Unternehmen KI für Cybersicherheit eingeführt, und UEBA-Risikobewertungen sind ein wichtiger Input für diese automatisierten Systeme. ⁶

Praxisbeispiel: Die Union Bank implementierte eine UEBA-Lösung, um alle DLP-Ereignisse zu aggregieren und Verhaltensbaselines zu erstellen. Die Lösung ermöglichte es der Bank, Fehlalarme herauszufiltern und die Analysten auf tatsächlich risikoreiche Situationen zu konzentrieren, wodurch der Untersuchungsaufwand deutlich reduziert wurde. ⁷

9. Untersuchung der Kontosperrung

Kontosperrungen binden in großen Organisationen erhebliche administrative Ressourcen. Manche Unternehmen widmen jährlich eine Vollzeitstelle allein der Forschung zu Kontosperrungen. Ohne UEBA muss jedes gesperrte Konto manuell überprüft werden, um festzustellen, ob es sich um einen Benutzerfehler, einen Konflikt mit zwischengespeicherten Anmeldeinformationen oder einen aktiven Angriff handelt.

UEBA automatisiert diese Untersuchung durch folgende Überprüfung:

Domänencontroller-Ereignisprotokolle zur Identifizierung der Sperrursache
Auf dem Gerät des Benutzers zwischengespeicherte Anmeldeinformationen, die möglicherweise wiederholte Authentifizierungsfehler auslösen.
Aktive Sitzungen, die mit der Sperre in Konflikt stehen

Dadurch verkürzt sich die Untersuchungszeit von Stunden auf Minuten pro Vorfall und die Analysten erhalten eine Verhaltenshistorie, die routinemäßige Kontosperrungen von potenziellen Kontoübernahmen unterscheidet.

10. Überwachung der Kontoerstellung

Angreifer, die sich einen ersten Zugang verschafft haben, erstellen oft neue Konten als Persistenzmechanismus; selbst wenn der ursprünglich kompromittierte Rechner wiederhergestellt wird, halten die neuen Zugangsdaten sie im Netzwerk.

UEBA überwacht die Aktivitäten bei der Kontoerstellung und erkennt Folgendes:

Unbefugte Erstellung von Anmeldeinformationen außerhalb normaler Bereitstellungsprozesse
Betrügerische digitale Konten, die gestohlene oder synthetische Identitäten verwenden
Neue Accounts werden sofort für Spamming, laterale Bewegungen oder Verstöße gegen die Richtlinien missbraucht.

11. Überwachung von Drittparteien- und Lieferkettenrisiken

Externe Lieferanten, Auftragnehmer und Partner greifen im Rahmen des normalen Geschäftsbetriebs routinemäßig auf Unternehmenssysteme zu. Dieser Zugriff ist zwar notwendig, vergrößert aber die Angriffsfläche, die mit herkömmlichen Perimeter-Tools schwer zu überwachen ist.

UEBA überwacht Aktivitäten von Drittanbietern und erkennt Folgendes:

Unbefugte Zugriffsversuche außerhalb des vom Partner definierten Geltungsbereichs
Datenexfiltrationsmuster von Drittanbieterkonten
Verhaltensanomalien, die darauf hindeuten, dass ein Auftragnehmerkonto kompromittiert wurde

Praxisbeispiel: Lineas, Europas größtes privates Schienengüterverkehrsunternehmen, implementierte eine UEBA-Lösung, um den Fokus der Analysten von der Rohdatenanalyse auf die Verhaltensanalyse der Lieferkette zu verlagern. Die Lösung ermöglichte Einblicke in Hosts, Konten, Netzwerkverkehr und Datenspeicher, die zuvor unzugänglich waren. ⁸

12. Überwachung von Insiderrisiken

Das Insiderrisiko umfasst sowohl vorsätzliches als auch fahrlässiges Verhalten. UEBA erfasst und analysiert die regelmäßige Interaktion von Nutzern mit IT-Systemen, definiert „normales“ Verhalten und meldet Abweichungen zur weiteren Untersuchung.

Aktuelle Daten für 2026: 55 % der Insider-Vorfälle beruhen auf Fahrlässigkeit und nicht auf böswilliger Absicht, und Organisationen verzeichnen durchschnittlich 14,5 Insider-bezogene Vorfälle pro Jahr. ⁹ UEBA erkennt Verhaltensänderungen, die auf ein steigendes Risiko hinweisen können, wie ungewöhnliche Arbeitszeiten, neue Dateizugriffsmuster und Veränderungen im Kommunikationsverhalten, bevor diese Muster zu Vorfällen eskalieren.

Dies ermöglicht den SOC-Teams einen Überblick über die Analyse der Benutzeraktivitäten im gesamten Unternehmen und unterstützt ein proaktives statt rein reaktives Insider-Risikomanagement.

13. Vorhersage von Software- und Hardwareausfällen

Die Verhaltensbasisanalyse von UEBA erstreckt sich auch auf den Zustand der Infrastruktur und gibt den Betriebsteams eine frühzeitige Warnung vor drohenden Ausfällen.

Software: UEBA erfasst und analysiert Anwendungsprotokolle und Antwortzeiten. Werden erhöhte Fehlerraten oder Transaktionsantwortzeiten festgestellt, die in der Vergangenheit Abstürzen vorausgingen, sendet UEBA eine Software-Problemwarnung, bevor es zu einem Ausfall kommt.
Hardware: UEBA überwacht CPU-Auslastung, Speichernutzung und Netzwerkverkehr auf Servern, Speichersystemen und Netzwerkgeräten. Spitzenwerte oder Abweichungen von den festgelegten Betriebsprofilen lösen Warnmeldungen zu Hardwareproblemen aus und ermöglichen so eine proaktive Wartung anstelle einer reaktiven Störungsbehebung.

14. Einhaltung der DSGVO

DSGVO: Die EU-Datenschutz-Grundverordnung verpflichtet Unternehmen, darüber zu protokollieren, wer auf personenbezogene Daten zugreift, wie diese verwendet und wann sie gelöscht werden. UEBA unterstützt die Einhaltung der DSGVO durch die kontinuierliche Überwachung der Nutzeraktivitäten und des Zugriffs auf personenbezogene Daten, die Führung von Prüfprotokollen und die Erkennung unberechtigter Zugriffe.

EU-KI-Gesetz: Das EU-KI-Gesetz tritt am 2. August 2026 für die meisten Bestimmungen vollständig in Kraft. Organisationen, die KI-Systeme mit hohem Risiko einsetzen, müssen eine kontinuierliche Überwachung, eine vollständige Protokollierung der Interaktionen dieser Systeme, Transparenzpflichten und Überwachungspläne für die Zeit nach der Markteinführung implementieren. Die Verhaltensüberwachungs- und Prüfprotokollierungsfunktionen der UEBA unterstützen diese Anforderungen direkt, insbesondere die Pflicht zur Protokollierung und Überwachung der Aktivitäten von KI-Agenten. ¹⁰

15. Aufrechterhaltung der Zero-Trust-Sicherheit

Die Zero-Trust-Architektur basiert auf dem Prinzip „Vertrauen ist besser als Nachsicht“ und erfordert jederzeit vollständige Transparenz über alle Benutzer, Geräte, Assets und Entitäten im gesamten Netzwerk.

UEBA ist ein zentraler Bestandteil von Zero-Trust, da es Verhaltensinformationen liefert, die statische Zugriffskontrollen nicht bieten können: Echtzeit-Einblicke in das tatsächliche Verhalten von Benutzern und Entitäten, nicht nur in deren erlaubte Aktionen. UEBA kennzeichnet Geräte, die außerhalb ihrer festgelegten Muster auf Zugriffe zugreifen, Benutzer, die ihre Rechte überschreiten, und Verhaltensänderungen, die auf eine mögliche Kompromittierung einer zuvor vertrauenswürdigen Identität hindeuten.

16. Überwachung des Verhaltens von KI-Agenten (Neu ab 2026)

Der bedeutendste neue Anwendungsfall für UEBA im Jahr 2026 ist die Ausweitung der Verhaltensanalyse auf KI-Agenten , Copiloten, RPA- Bots und andere automatisierte Systeme, die mit Unternehmenszugangsdaten arbeiten.

KI-Agenten, die auf Datenrepositorys zugreifen, API-Aufrufe tätigen, Workflows ausführen und mit Geschäftssystemen interagieren, verhalten sich ähnlich wie menschliche Nutzer. Ein kompromittierter oder nicht autorisierter KI-Agent kann Daten in Maschinengeschwindigkeit exfiltrieren – weitaus schneller als jeder menschliche Insider. Laut einem Insider-Risikobericht aus dem Jahr 2026 behandeln jedoch derzeit nur 19 % der Unternehmen KI-Agenten mit entsprechenden Berechtigungen als Insider. Dies stellt eine aktiv unterschätzte Bedrohungsfläche dar. ¹¹

Exabeam hat im Januar 2026 Agent Behavior Analytics (ABA) eingeführt – die erste kommerziell verfügbare Funktion, die die Verhaltensgrundlagen von UEBA direkt auf die Aktivitäten von KI-Agenten anwendet. Greift ein Agent auf Systeme außerhalb seines Funktionsbereichs zu, liest er ungewöhnlich große Mengen sensibler Daten oder führt er API-Aufrufe durch, die nicht seinem etablierten Muster entsprechen, kennzeichnet ABA dies und erstellt automatisch eine forensische Zeitleiste. ¹²

Organisationen, die im Jahr 2026 KI-Agenten einsetzen, sollten ihren UEBA-Geltungsbereich auf Folgendes ausweiten:

Verhaltensbaselining für Agenten: Definieren, welche APIs ein Agent aufruft, auf welche Daten er zugreift und in welchem Umfang.
Abweichungserkennung: Kennzeichnung, wenn ein Agent auf Systeme außerhalb seines erwarteten Funktionsbereichs zugreift.
Forensische Zeitleisten: Automatische Rekonstruktion der Aktionsabfolge bei Erkennung einer Agentenanomalie.
Verwaltung von Anmeldeinformationen: Die Anmeldeinformationen von KI-Agenten unterliegen der gleichen Aufsicht wie privilegierte Benutzerkonten.

Open-Source-UEBA-Tools

Werkzeug	Funktionalität
OpenUBA	Erfasst und analysiert Protokolle auf abnormale Verhaltensweisen mithilfe von maschinellem Lernen und Verhaltensprofilierungsmodellen.
Graylog	Sammelt Protokolle von Servern und wendet über seine Schnittstelle eine auf maschinellem Lernen basierende Anomalieerkennung an.
Wazuh	Überwacht Telemetriedaten zur Bedrohungserkennung und Anomalieanalyse
Apache-Metron	Bietet Echtzeit-Einblicke in Sicherheitstelemetriedaten durch Big-Data-Plattformen
HELK	Bietet Funktionen zur Bedrohungsanalyse mithilfe des ELK-Stacks und Apache Spark für die Echtzeit-Datenanalyse.
Apache-Spot	Erkennt Anomalien im Netzwerkverkehr, die auf verdächtige Benutzer- oder Entitätsaktivitäten hinweisen.

Mehr dazu: Open-Source-UEBA-Tools .

UEBA vs SIEM

SIEM konzentriert sich auf Sicherheitsereignisdaten und nicht auf das Verhalten von Benutzern oder Entitäten. Das bedeutet, dass SIEM Daten aus Sicherheitsprotokollen, Firewall-Protokollen, Protokollen der Angriffsprävention und dem Netzwerkverkehr sammelt und analysiert, während UEBA benutzer- und entitätsbezogene Quellen und verschiedene Protokolle verwendet.

Der Hauptanwendungsfall für SIEM ist die Echtzeit- Sicherheitsüberwachung, Ereigniskorrelation, Vorfallserkennung und -reaktion .

UEBA kann Insiderbedrohungen, Kontoübernahmen, Missbrauch von Berechtigungen und andere ungewöhnliche Verhaltensweisen oder Datentransferaktivitäten erkennen . UEBA nutzt Algorithmen des maschinellen Lernens und statistische Modelle, um „normale“ Verhaltensmuster zu definieren, während SIEM regelbasierte Korrelation und Mustererkennung einsetzt.

UEBA lässt sich auch in SIEM-Systeme integrieren, um die Verhaltensanalyse von Benutzern und Entitäten zu verbessern. SIEM-Lösungen bieten UEBA-Funktionen häufig als Module an. Einige Anbieter, wie beispielsweise ManageEngine Log360 oder Sentinel, bieten einheitliche SIEM-Produkte an , die SIEM- und UEBA-Funktionen in einer einzigen Lösung vereinen.

FAQs

Ein UEBA-System identifiziert und bekämpft Cybersicherheitsbedrohungen durch die Überwachung von Benutzer- und Netzwerkaktivitäten. Es hilft bei der Erkennung von Anomalien, Fehlkonfigurationen und potenziellen Schwachstellen und ermöglicht Sicherheitsteams so, die notwendigen Maßnahmen zum Schutz ihrer Systeme zu ergreifen.

Gartner definiert die drei Säulen der UEBA (User and Entity Behavior Analytics) wie folgt:

1. Anwendungsfälle: UEBA-Systeme sollten Abweichungen in der Benutzer- und Entitätsaktivität über mehrere Anwendungsfälle hinweg überwachen, erkennen und darauf aufmerksam machen .

2. Datenquellen: UEBA-Systeme sollten in der Lage sein, Daten aus generischen Datenrepositorien oder über ein SIEM abzurufen, ohne Agenten direkt in der IT-Umgebung einzusetzen.

3. Analytik: Um Anomalien aufzudecken, verwendet UEBA verschiedene analytische Werkzeuge, wie z. B. statistische Modelle und maschinelles Lernen .

UEBA-Tools sammeln Protokolle und Warnmeldungen aus allen verbundenen Datenquellen und analysieren diese, um Verhaltensprofile der Entitäten Ihrer Organisation (z. B. Benutzer, Hosts, IP-Adressen und Apps) im Zeitverlauf und über Vergleichsgruppen hinweg zu erstellen.

Diese Tools nutzen anomaliebasierte Bedrohungserkennung, um umfassende Einblicke in ungewöhnliche Aktivitäten von Benutzern und Organisationen zu liefern und Ihnen bei der Feststellung zu helfen, ob ein System gehackt wurde. Dies unterstützt Security Operations Center (SOCs) bei der Priorisierung von Untersuchungen und der Reaktion auf Sicherheitsvorfälle. Weitere Informationen finden Sie unter: Tools zur Reaktion auf Sicherheitsvorfälle .

Im Gegensatz zur Nutzerverhaltensanalyse (UBA) hat die UEBA einen erweiterten Anwendungsbereich. Während sich die UBA lediglich auf die Auswertung der Nutzeraktivität konzentriert, umfasst die UEBA das Verhalten sowohl von Nutzern als auch von Netzwerkkomponenten, einschließlich:

-Netzwerkgeräte
-Router
-Datenbanken

Referenzlinks

Insider Threat Statistics [2026]: 45+ Facts on Cost & Risk

StationX

https://www.netskope.com/wp-content/uploads/2023/05/advanced-ueba-case-studies.pdf

2026 Insider Threat Report: 5 Critical Reality Checks

Cyber Strategy Institute

https://www.netskope.com/wp-content/uploads/2023/05/advanced-ueba-case-studies.pdf

Rapid7's MDR is Winthrop & Weinstine's 24/7 "eyes and ears" - Rapid7

UEBA explained: user and entity behavior analytics guide

Vectra AI

Exabeam Allows Union Bank to Focus on Actual High-risk Incidents | Exabeam

Exabeam

Exabeam Equips Lineas with the Tools to Secure the Availability of Their IT Systems | Exabeam

Exabeam

Insider Threat Statistics 2025: Tackling the Growing Security Threat

Hackingloops

10.

The EU AI Act implementation timeline: understanding the next deadline for compliance

Kennedys Law LLP

11.

UEBA explained: user and entity behavior analytics guide

Vectra AI

12.

Exabeam Introduces AI Agent Security in New-Scale Launch | Exabeam

Exabeam

Cem Dilmegani

Leitender Analyst

Folgen auf

Cem ist seit 2017 leitender Analyst bei AIMultiple. AIMultiple informiert monatlich Hunderttausende von Unternehmen (laut similarWeb), darunter 55 % der Fortune 500. Cems Arbeit wurde von führenden globalen Publikationen wie Business Insider, Forbes und der Washington Post, von globalen Unternehmen wie Deloitte und HPE sowie von NGOs wie dem Weltwirtschaftsforum und supranationalen Organisationen wie der Europäischen Kommission zitiert. Weitere namhafte Unternehmen und Ressourcen, die AIMultiple referenziert haben, finden Sie hier. Im Laufe seiner Karriere war Cem als Technologieberater, Technologieeinkäufer und Technologieunternehmer tätig. Über ein Jahrzehnt lang beriet er Unternehmen bei McKinsey & Company und Altman Solon in ihren Technologieentscheidungen. Er veröffentlichte außerdem einen McKinsey-Bericht zur Digitalisierung. Bei einem Telekommunikationsunternehmen leitete er die Technologiestrategie und -beschaffung und berichtete direkt an den CEO. Darüber hinaus verantwortete er das kommerzielle Wachstum des Deep-Tech-Unternehmens Hypatos, das innerhalb von zwei Jahren von null auf einen siebenstelligen jährlichen wiederkehrenden Umsatz und eine neunstellige Unternehmensbewertung kam. Cems Arbeit bei Hypatos wurde von führenden Technologiepublikationen wie TechCrunch und Business Insider gewürdigt. Er ist ein gefragter Redner auf internationalen Technologiekonferenzen. Cem absolvierte sein Studium der Informatik an der Bogazici-Universität und besitzt einen MBA der Columbia Business School.

Vollständiges Profil anzeigen

Recherchiert von