NTA还是UEBA ?为什么选择?

“非常美味。少填满。”这是一个经典的啤酒广告中的重复，基本上告诉消费者，他们可以喝上一杯很棒的啤酒，同时还能减少卡路里。谁不喜欢买一送一呢?

安全团队经常面临类似的选择。即使预算不断增加，首席信息安全官也必须不断地优先考虑投资，而且很少有一种产品能够在多个任务中交付。对于需要提高发现和应对内部攻击能力的组织，可以选择UEBA(用户和实体行为分析)或NTA(网络流量分析)。

在两种情况下，解决方案都有机器学习 - 在他们造成伤害之前寻找和响应内幕攻击的重要组成部分。对于UEBA，输入是日志和NTA，它是数据包和流。UEBA提供广泛的IT覆盖范围，通常用于涡轮加压暹粒。NTA提供精确的实时见解。少填充或味道味道少？数据包或日志？

NTA是什么?
在2019年网络流量分析市场指南(1)中，Gartner承认Aruba IntroSpect同时提供UEBA和NTA解决方案。对于NTA，引用的关键属性是:

• 分析网络流量和/或流量
• 通过机器学习检测行为异常
• 实时或接近实时的进程
• 支持调查

通过成熟的深度数据包检测将进行NTA任务的内部调整，以为机器学习模型提供丰富的元数据，以检测诸如勒索软件的攻击。此外，IOT安全所需的NTA是因为“东西”不记录并且无法查询 - 可以看到折衷的唯一方法是通过网络行为的变化。

Aruba IntroSpect是一个“NTA Plus”解决方案。除了NTA的功能，它还通过日志提供互补的行为分析——来自防火墙、web代理、DNS、DHCP等源。这在由于网络约束、加密等原因导致信息包或信息流不可用的情况下特别有用。

虽然Gartner没有将用户属性作为NTA的必要组件，但我们的客户告诉我们，IntroSpect将用户连接到其IT活动的能力，与从IP地址开始相比，大大加快了事件调查的速度。好消息是，与其他刚刚将用户ID添加到警报的NTA产品不同，IntroSpect提供完整的用户配置文件，包括所有设备和与该用户相关的用户ID，以及用户安全相关活动的摘要，以加速调查。

Network-Powered安全
阿鲁巴一直被公认为是Gartner魔术象限的领导者，有线和无线LAN访问基础设施此外，阿鲁巴在世界上的排名也很高有线和无线局域网接入基础设施的关键能力。(3)在企业网络部署最常用的六个用例中，阿鲁巴在五个中用例中得分最高。

我们毫不奇怪，我们非常擅长使用网络来检测和响应高级攻击。我们称之为“网络动力安全性”，这意味着在保护组织方面，安全团队在保护组织时不必妥协。

使用IntroSpect，您的安全和网络团队将发现更容易一起工作，以保护指数级增长的攻击表面。更少的努力，更好的安全性。这是任何CISO(和CIO)都会喜欢的双重优惠。

Gartner不认可其研究出版物中描述的任何供应商、产品或服务，也不建议技术用户只选择那些拥有最高评级或其他指定的供应商。Gartner的研究出版物由Gartner的研究组织的意见组成，不应被解释为事实陈述。Gartner不提供任何明示或暗示的保证，包括任何针对特定目的的保证或适销性或适用性。

(1）Gartner -网络流量分析市场指南，2019年2月28日- Lawrence Orans, Jeremey D 'Hoinne, Sanjit Ganguli

（2）阿鲁巴岛的13年的位置包括HPE(阿鲁巴岛)的魔力象限有线和无线局域网访问基础设施从2015 - 2018年(4年),阿鲁巴岛网络相同的魔力象限从2012 - 2014年的魔力象限(3年)和无线局域网访问基础设施从2006 - 2011(6年)。

(3) Gartner -有线和无线局域网接入基础设施的关键能力，2018年8月21日，Christian Canales, Tim Zimmerman, Bill Menezes, Mike Toussaint