UEBA60_产品白皮书（DOC38页）

《UEBA60_产品白皮书（DOC38页）》由会员分享，可在线阅读，更多相关《UEBA60_产品白皮书（DOC38页）（37页珍藏版）》请在装配图网上搜索。

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第36页 共37页用户个体行为分析系统产品白皮书User and Entity Behavior Analytics Copyright 2015 i-search Co.Ltd. 目录1.背景与需求32.产品简介42.1产品概述42.2技术架构53.产品功能63.1会话录像63.1.1 会话录像63.1.2 操作日志73.1.3 录屏策略73.1.4 录像播放83.1.5 实时监控93.2行为分析103.2.1 操作行为管理103.2.2 业务可视化标签123.2.3 业务流程分析133.2.4 业务报表143.2.5 搜索引

2、擎153.2.6 用户关系163.2.7 用户画像173.2.8 文档跟踪173.3效率分析183.3.1 效率分析183.3.2 应用分析193.3.3 工作时间203.3.4 应用分类203.4视图&报表213.4.1 仪表盘面板213.4.2 视图及搜索管理213.4.3 效率分析报表223.4.4 Http性能报表233.4.5 自定义报表233.5系统管理243.5.1 客户端管理243.6.2 录屏策略管理243.6.3 用户角色管理254.应用场景264.1营业网点264.2操作中心274.3研发及运维中心274.4客户联络中心285.产品部署295.1单系统部署295.2集群部

3、署方案296.性能参数307.产品特点与优势318.客户案例328.1交通银行太平洋卡中心328.2浦发银行338.3上海移动338.4江南农村商业银行348.5深圳公安358.6我们的客户361. 背景与需求如何防范业务纠纷，提升风控管理水平？如何提升业务操作效率，节约成本？如何发现异常行为，有效防止客户敏感信息泄露.这些都是目前企业中非常关心的问题。而在信息业务系统使用过程中谁才是核心点？答案是人。现在大型企业内部，非常重视安全管控，大量投资安全技术，分析的方法和层面选择众多，哪方面最有帮助和具备创新性，成为安全管理的核心。在日常安全工作中，对于外部安全威胁以防范为主，对于内部安全问题，以

4、分析响应为主。很多外部安全问题的根源，也是来自内部的违规操作。越来越多的企业发现，检查人的相关信息比检查机器日志更容易发现问题。随着IAAS、PAAS、SAAS等技术的不断普及，云化和分布式已经是所有大型企业IT系统演进的关键字，这时各种应用日志水平参差不齐，应用系统使用交叉频繁，企业终端处几乎成为一个唯一真正可靠的行为获取之处。相对于服务端日志和网络抓包，客户端日志可以有效获取非加密的行为日志、访问的数据内容。基于终端的数据分析产品和安全产品，正逐渐成为这个时代的最可靠的选择。2. 产品简介2.1 产品概述用户个体行为分析（User and Entity Behavior Analytics

5、，简称UEBA）是上海艺赛旗软件股份有限公司自主研发的用户行为分析管理产品，可对终端桌面上的操作行为进行完整录像，提供可视化录屏，并采集丰富的文本日志数据，对数据自动化处理，关联分析，索引归类，管理者和审计人员在UEBA系统中可以方便地搜索桌面上任何行为动作，定点查看关心的操作视频，全面掌控终端桌面上的使用行为，确保合规安全地利用终端资源。同时通过对行为数据的归类和分析，直观的展现企业员工的工作情况及工作效率。UEBA是垂直领域的分析者，提供端到端的分析，从数据获取到数据分析，从数据梳理到数据模型构建，从得出结论到还原场景，自成整套体系，提供用户行为跟踪分析的最佳实践，记录了人产生和操作的数据

6、，并且能够进行实际场景还原，从用户分析的角度来说非常完整并且直接有效。UEBA帮助用户防范信息泄露，避免商业欺诈，增强服务质量，提高工作效率。以UEBA为核心的产品及技术，形成了客服可视化质检、云桌面安全审计、金融柜面交易监控、安全大数据、运维及开发管理五套解决方案。2.2 技术架构UEBA主要通过部署在桌面的代理程序（Agent）来完成桌面操作画面的捕获及用户的操作行为日志摘要，通过集中管理平台来完成录像和日志的集成、匹配和基础分析，管理人员在管理页面可以直接查看这些数据，也可以将相关数据输出到大数据分析系统中进行分析，而最终发现问题或者需要人工干预时，可以随时调取直观可信的录像及日志来进行

7、观察。UEBA的整体框架如下： 数据展现层：提供强大的搜索、效率分析、报表功能，保证基础的大数据使用能力；提供完整的会话-日志级别的展现，基于会话展现录像和日志；提供专门的应用行为日志展现，直接展现经过针对性优化分析的、可读性较强会话-日志文件； 数据管理平台层：提供统一的数据接收、存储、分析、管理平台，提供完整的搜索分词功能，提供全面数据接收发送能力，包括接收录像、日志并进行数据集成，下发策略，提供完整的系统管理能力，包括分布式系统管理、备份、用户管理等； 终端Agent功能层：基于下发的策略，实现录像和日志获取，支持黑白名单和细粒度的日志获取策略，支持CPU平缓化、网络平缓化、批量传送、断

8、点续传等能力；3. 产品功能 3.1 会话录像3.1.1 会话录像对桌面的变化进行完整的录像，精确记录用户的每一个操作，记录下的视频具有法律效应。UEBA基于变化进行录屏，针对商业及字符应用特别优化压缩算法，使用自有文件存储格式，并针对视频拖拉优化了索引。由于这些特有录屏技术的使用，比较一般基于全屏截取的录屏软件，储存资源消耗可以减小50-200倍。基于变化录屏示意图如下所示： 录像画质还可选择不同的清晰度，在满足安全要求基础上，最大程度节省资源。此外录像可进行部分模糊化处理，避免暴露敏感重要信息。3.1.2 操作日志可捕获大量细致的标识操作动作的文本元数据，把终端桌面上的用户行为分解成详细的

9、日志记录保存下来，例如打开的窗口标题、打开的文件、键盘的输入、鼠标的点击、网络的连接、聊天的记录、文件的操作等，UEBA在这些丰富的文本数据基础上，即可应用智能化的分析处理技术，极大提高审计工作的可操作性。用户也可按照需求配置选择需要抓取的文本数据类型，避免无用数据的干扰。 3.1.3 录屏策略系统通过灵活的录像策略，完成对用户不同需求的录像要求，包括运维用户场景、工具场景、全录像场景、不录像场景，结合应用黑白名单的配置，分别可以满足针对指定的人员、操作工具、应用等进行单独的触发录像或者不录像，只需简单的配置即可实现。具体有： 从登录到退出的全程录像； 有操作动作时触发开始，无操作动作时即行停

10、止； 按特定程序录像，其中又可分为只对某程序录像和只对某程序不录像；如下图所示； 依照选择的录像策略，以会话的形式整合所有捕获的数据，并对每个会话标识有用户名、桌面IP、计算机名、会话时间等摘要信息，便于搜索统计。3.1.4 录像播放查看UEBA的录像数据，无需另行安装播放器，可直接在UEBA的WEB管理页面中在线观看，支持Flash和HTML5播放，简单方便。录像播放操作栏具有滚动条、暂停、多倍速播放等常规录像播放功能。播放时间显示可进行相对时间、绝对时间的切换。录像的播放可选择适应浏览器窗口大小的播放，或者原始图像大小的播放。 还可进行截屏和和录像剪辑操作。录像播放界面如下图所示： UEB

11、A系统把海量的视频数据和丰富的文本数据以时间链条结合起来，相当于为长时间的录像做了索引。在录像播放窗口可以看到，右侧栏显示有视频对应的文本日志条目，且会高亮显示当前播放点对应的单条文本日志。而在文本日志的查看窗口，每一条日志后都跟有播放按钮，点击任一个播放按钮，都会自动定位到相应的时间点，直接定位播放日志代表的操作发生的画面。 左侧条目支持五种类型：窗口、命令、SQL、标签、网页，支持按需过滤显示。3.1.5 实时监控 可以对正在录像的会话进行实时监控，实时查看当前的操作过程。3.2 行为分析3.2.1 操作行为管理除了键盘、鼠标动作的数据，UEBA还可深入典型应用中抓取更广泛的与用户行为相关

12、联的日志。典型的应用行为主要有： 网页行为UEBA对网页上的操作行为和活动进行捕捉和分析，使网页活动具备可见性，充分了解用户的网页行为活动，防止公司信息泄露。IE浏览器的浏览与交互日志，包括有URL地址、返回页面内容、post提交内容等； 运维操作支持记录系统维护工具、开发工具的详细信息、开发代码等内容。并通过全程的画面操作录像、操作命令文本等记录全程进行定点审计。全程记录通过SecureCRT、XSHELL、sqlplus、cmd等运维工具登录服务器或其他设备后，执行的所有命令记录； 聊天行为通过对聊天工具中活动行为的捕捉和分析，充分了解员工在什么时间使用什么工具和谁聊天，并聊了些什么，以防

13、止客户信息或商业机密泄露。捕捉完整和详细的聊天信息供于行为审计，哪怕是上传和下载文件或图片。 邮件操作敏感文件很容易通过邮件的附件形式进行泄密，UEBA不仅可以对邮件的收发进行审计，并且通过邮件上传和下载的附件也可以进行跟踪，实现邮件的全程录像和审计，防止公司机密或文件的泄密。 文档操作通过更改文档的名称或进行拷贝移动也是常见的文件泄密手段之一，通过监控文档的改名或移动行为的跟踪，以及行为过程进行全程录像，防止文档的泄密或丢失。记录文档操作轨迹，如文档变更、文档移动。针对这些应用会话中的日志，能够按照应用的特点进一步分类梳理，形成真正可读会话日志，更细致地审查操作者的行为，提高审计的细粒度，满

14、足企业的业务部门、运维部门、客服部门等多种特定应用场景的需求。 此外，对于操作者交互的对象WEB应用系统，UEBA还可获得其相关的性能数据，例如平均页面加载时长、服务器响应占比等，通过这些数据即可更客观考核业务人员，又可帮助开发人员更好优化系统。3.2.2 业务可视化标签 通过对IE页面上的元素或按钮进行提取，并定义为业务标签，当用户在页面触发相应事件后会生成对应的业务操作行为日志记录，从而了解员工真实的业务行为及业务操作的行为轨迹，在平台管理页面可展现业务操作行为数据并进行相关的分析。在某些业务节点通过弹屏提示的方式对操作人员进行提示或警示，在较为复杂的业务中可以进行业务操作的指引，提升工作

15、效率。 基于IE浏览器（8.0以上），对事件日志的抓取，可以打开和发送元素触发事件，支持输入框、按钮、下拉框、文本、列表、展开列表等元素的事件进行捕捉。 事件分类： Bevent日志：用户对IE web界面的每次鼠标点击，会生成一个bevent事件，真正追踪了用户行为，并可以在网页中提取相关的关键字，是比网页URL更佳的行为日志选择。 标签日志：通过可视化配置工具自定义的触发日志来定义标签，并形成特殊类型日志，可以同步捕捉多种字段、自定义属性等。 会话标记行为日志：至少包括业务开始和业务结束事件，可以用于标记一个会话，其中业务结束事件会包含整个会话过程中的多种统计信息。 可对自定义的标签日志进

16、行抓取，可以通过客户端可视化配置工具定义标签规则和提取数据规则。 标签抓取基于一定的URL页面内，通过检查网页元素的各种属性匹配预定义值来实现触发日志发送、检查触发前置条件、提取触发时的其他元素值、触发弹窗这四种功能。 可以调试定义策略的有效性，实现现场策略debug。 导出策略包并上传到服务器。 可定义普通标签、事务开始标签、事务结束标签。3.2.3 业务流程分析 通过已经生成的业务标签数据，选择相应的时间和业务标签，定义顺序，即可生成灵活、直观业务流程分析图。 基于用户业务操作流程的分析； 展现用户业务操作轨迹； 体现用户业务操作习惯； 用户操作业务流程是否合规； 分析用户业务操作行为；

17、业务流程是否具有优化空间。3.2.4 业务报表 员工整体工作情况如何？工作效率如何？团队工作效率如何？哪些员工效率高？那些员工经常挂断电话？为什么？哪些员工在通话时间外查询客户的信息？是否有泄密的行为？哪些业务办理时复杂度比较高？. 基于座席操作业务的行为数据生成多维度的业务报表，体现员工、团队的工作概况、业务操作概况、业务合规分析及业务复杂度分析。 座席通话概览； 团队通话概览； 座席业务操作概览； 团队业务操作概览； 业务合规主动挂断操作概览； 业务合规转满意度概览； 业务合规通话中空闲状态概览； 业务合规通话外业务操作概览； 业务复杂度概览。3.2.5 搜索引擎 UEBA对客户端的日志进

18、行收集、过滤，并提供了一个分布式的全文搜索引擎，可用于全文搜索，结构化搜索以及分析，支持亿级数据量的会话检索，通过搜索页面对日志进行高效的搜索，同时提供了灵活的、丰富的数据展现方式和搜索条件，并可定位到相应的视频画面进行播放。搜索界面如下图所示： 实时分析的分布式搜索引擎，支持亿级数量会话检索； 搜索结果自动分类，单条件、多条件联级检索； 支持基于索引字段进行近期汇总统计，并可以基于统计添加字段条件； 支持快速时间选择，缺省为最近15分钟字段，可选择多个预定义的时间段，支持相对时间和绝对时间，支持自动刷新搜索； 支持事件趋势柱状图，自动产生近期事件趋势图表； 支持事件详细信息的查看，支持从事件

19、开始回放视频； 搜索条件和结果可以进行保存，便于下次使用，也可以用于创建新的视图和搜索； 丰富、直观的数据展现方式。3.2.6 用户关系 通过采集的用户行为数据，展现员工之间在时间、位置、媒介等方面的交集，通过可视化的方式发现员工之间的潜在关系和工作交集，通过趣味视图，解决枯燥数据难以观察的问题。比如员工A和员工B在某一天相互聊天通讯过几次，员工A和员工B在某一天共同访问过某些资源等。 用可视化方式展现用户之间的关系； 可选项通讯、邮件、共同目的地、共同位置、共同内容进行关联分析； 提供可搜索的用户列表，搜索结果可以添加到分析用户列表中； 可以分析IM联系、邮件联系、位置相关性、访问服务器相关

20、性、文档相关性这五种关系； 以关系图方式展现备选客户之间的关系以及关系分类和数量； 分析会以列表方式给出关系更详细信息。3.2.7 用户画像 以用户为核心，通过用户的实体行为，为用户建立画像和标签，通过可视化的方式直观的呈现用户的行为及轨迹，同时展现用户的效率概况和行为数据。 用可视化方式展现用户之间的关系； 直观展现用户行为操作轨迹，在哪个程序的哪个窗口下做了哪些操作； 效率概况显示工作效率，了解员工工作效率信息； 展现行为统计，包括文档收发次数、文件写,修,删次数、不同业务系统、总日志数、不同的程序数、键盘输入数、鼠标点击数； 统计并显示员工常用的应用程序及网站。 右侧支持窗口、网页、事件

21、、标签。3.2.8 文档跟踪 对文档的操作者以及操作轨迹进行记录并跟踪，如文档被多少人在什么时间操作过多少次，以及操作的行为动作，有没有通过聊天工具或邮件转发等。 可按时间和文档名称关键字搜索文档； 显示时间内文档被使用的次数； 显示文档读取次数、文档删除次数、移动介质次数、聊天工具传输次数、邮件传输次数； 以时间轴的方式展现文档操作的轨迹； 记录文档新增、修改、删除、更名、移动等事件； 完整显示文档操作的日志详情； 支持定位回放当前步骤的录像。3.3 效率分析3.3.1 效率分析 员工的工作效率如何？哪些员工工作的效率高？哪些员工效率低？工作效率低是因为什么？因为经常上网聊天做和工作无关的事

22、情？每天有多少时间用在工作上？在这里，我们可以通过图例和数据展现员工的工作效率，并分析出高效比、低效比、无效时长等数据。 基于用户的工作高效、低效数据分析； 分析员工的工作时长及工作时间； 分析员工高效时长、无效时长、离线时长、高效比、无效比； 通过分类，分析员工每天工作占比，如办公花了多少时间，交流花了多少时间等； 按时间的柱状堆叠，直观观察用户活动的时间段、高效、无效、中立等时间占比； 显示员工每天使用最多的应用和网站。3.3.2 应用分析 基于用户对应用程序的使用进行统计和分析，以时间轴为序从应用使用层面分析员工工作情况及工作效率。分析用户在时间内使用最多的应用是什么？某个时段使用应用的

23、密度；办公时间内使用非办公软件次数及时长；团队中多个员工使用应用情况的对比分析。 使用颜色标明不同的应用，显示员工的应用使用时长，应用使用日志数。3.3.3 工作时间 这里可以灵活的自行定义工作时间，包括上班时间及工作日的选择配置，用于员工的工作效率分析。3.3.4 应用分类 内置应用程序及网站知识库，可对应用程序或常用网站进行灵活的定义、分类、分组及标签，用于分析员工的工作效率，上班时间内操作了哪些类型的程序，有多少时间用在了非办公程序上。如记事本定义分类为办公，分组定义为有效。3.4 视图&报表3.4.1 仪表盘面板 利用强大的搜索功能，所有的搜索结果都可以转化为KPI指标，然后在KPI指

24、标基础上，可以保存为视图，视图样式丰富，如数字板、曲线图、柱状图、饼图和列表等。通过仪表盘面板页面中种类丰富的图表，能够以最直观地方式呈现管理者关心的数据，充分展现企业各方面的运行状态。3.4.2 视图及搜索管理 在这里，可以根据搜索的结果或是已保存的搜索进行视图的创建，用于数据的多样化展现，使用户关心的数据更直接更直观。 支持根据搜索条件创建视图； 支持搜索、视图的增、删、改、查操作； 支持量化仪表盘，支持指定搜索条件、数值可以是可以是总数、最大值、最小值、平均值等、支持自定义字体大小和自定义描述； 支持数据表视图，支持指定搜索条件、支持自定义列、支持分表或分行； 支持曲线图、饼图、柱状图、

25、面积图、环状面积图等样式； 支持保存、加载和分享，支持指定搜索条件、支持自定义列、支持分表或分行； 支持定义后的实时预览。3.4.3 效率分析报表 通过对员工行为数据的捕获和分析，以报表的方式多维度展现企业人员的工作效率。包括会话趋势及详情表、会话开始时段排名表、会话时长排名表、资源使用情况TOP50、日志趋势及详情表、用户日志TOP50、用户应用使用统计表。3.4.4 Http性能报表 分析浏览器访问目标网站过程中的性能情况，包括性能趋势表、系统满意度表、页面满意度表、流量分析表、地址访问量分析表。支持选择日期及办公时间段，可选择定义好的业务系统。 3.4.5 自定义报表在搜索页面通过构建各

26、种搜索表达式，获取到满足不同需要的数据结果，这些搜索结果可以定制为报表形式，随时自动呈现给管理者审阅。报表界面如下图所示：3.5 系统管理3.5.1 客户端管理 在服务端的Agent管理列表页面，可对客户端进行全面监控和实时控制管理，同时支持远程自动升级。3.6.2 录屏策略管理系统通过灵活的录像策略，完成对用户不同需求的录像要求，包括运维用户场景、工具场景、全录像场景、不录像场景，结合应用黑白名单的配置，分别可以满足针对指定的人员、操作工具、应用等进行单独的触发录像或者不录像，只需简单的配置即可实现。具体有： 从登录到退出的全程录像； 有操作动作时触发开始，无操作动作时即行停止； 按特定程序

27、录像，其中又可分为只对某程序录像和只对某程序不录像；如下图所示； 依照选择的录像策略，以会话的形式整合所有捕获的数据，并对每个会话标识有用户名、桌面IP、计算机名、会话时间等摘要信息，便于搜索统计。3.6.3 用户角色管理可从菜单功能和数据范围两个层面实现对审计人员的分权分级。具体实现上通过建立角色并赋予审计用户来完成，而在角色的设置上，一方面可对所有菜单功能项设定是否勾选，一方面可使用与审计搜索入口处完全相同的搜索功能，以复杂而灵活的搜索结果来限定角色可访问的数据范围。建立角色设定权限示例图如下：4. 应用场景4.1营业网点 营业网点是企业面对用户的一线部门，同时又直接经手用户相关的重要业务

28、。各企业都很重视对营业人员业务行为的监管和业务水平的促进。实现有效的监管需要完整地记录业务行为，可全方位还原重要业务办理过程；还需把操作行为转化为可审计的日志数据，进行进一步的分析挖掘；对于代表业务结果的业务电子文件可进行检索查找。而促进业务水平的提升，很重要一点是需要建立良好的培训机制，积累丰富的业务教材，方便业务人员随时学习提高。 UEBA可对业务终端上业务办理过程全程录像，同时对办理现场进行录音，多维度记录业务办理场景，有利于事后的审计追溯与业务质量分析，实现录像、录音、录屏同步播放；同时把业务过程解析为细粒度的操作日志，按照实际需要自动进行分类统计，自动检查敏感操作与违规操作，并以丰富

29、的形式呈现分析与检查的结果。此外，获取的业务数据还可以与相关电子业务文件进行自动关联，提供了一种快速检索业务文件的技术手段。 全面实现理财、信贷等业务双录； 全面实现现金交易等柜面操作双录； 支持视频、音频、录屏、操作日志等多种数据源采集； 将多种数据源集成和同步起来，同屏播放； 实现与柜面业务操作自动关联触发； 实现自动补全页面业务信息。44.2操作中心 针对企业内员工及业务操作人员，UEBA通过灵活的策略设置，为每笔业务操作自动生成员工操作行为过程的录屏，完整记录员工操作过程，并捕获大量细致的标识操作动作的文本元数据，将用户行为分解成详细的日志记录保存下来。 员工上班是否在做与业务无关的事

30、情？如何评价员工的操作速度、效率？如何发现低效员工的错误，并及时纠错？通过对操作行为的分析，直观展现员工的工作时间及工作效率详情，帮助企业提升业务操作效率。 为每笔业务操作自动生成操作过程录屏； 详细分析员工使用业务工具的时间； 分析业务人员生产性及非生产性行为； 有效通过可视化数据，观察员工工作模式； 充分挖掘潜能，提高生产力。4.3研发及运维中心针对开发、运维及外包团队的管理，要确保业务系统开发过程必须是保密严谨的，特别对于外包的开发团队，更需要对开发过程进行全程监控；而在测试阶段也需要记录测试的各个步骤，尤其是测试过程中的问题点、故障点，保证发生问题与故障的过程可追溯还原，帮助问题的尽快

31、解决；此外还需要针对终端应用性能，网页系统载入性能等进行一系列监控，帮助开发人员随时掌握开发成果的表现状况，进行及时的改进；最后监控与记录的数据要能够帮助对人员工作情况进行绩效统计，为开发工作整体评估提供有用参考。UEBA可以很好的满足应用开发工作中这些方面的需求，具体可提供以下帮助： 实现运维行为分析，支持主机、数据库、网络设备等； 支持对大数据平台的访问行为审计； 支持用户体验分析，有效协助研发定位问题； 提升研发、运维及外包团队工作效率； 实现对外包团队的工作模式评价及风险控制。通过应用开发环境中UEBA的部署，确保了对于开发、测试和试运行等过程的全程监控，提供了一种检视开发测试中行为的

32、技术手段，即可以帮助杜绝潜在危害，发现异常行为，也可以帮助提升开发效率。4.4客户联络中心 客户服务中心是直接面对客户要求、回应客户质疑，满足客户需求的一线部门，它的工作质量直接影响客户对公司整体的满意度，客服工作上的问题甚至会抵消其它部门的工作成果。客服人员自身需要较高的工作技巧，同时也更需要外界严格的监督，以促进其工作的不断提升，所以对客服工作的质检成了督促提升其工作质量，最终提升客户满意度非常重要的一环。 UEBA为质检部门增添一种必要的技术手段，填补质检工作的短板，捕获缺失的操作数据，对于操作过程全程录像，在此基础上更能解析出操作动作对应的文本化日志，从而做到对客服人员工作过程的自动分

33、析、精确提炼、定期汇总、问题侦测，借助这一技术手段，使得质检工作更有目的性、方向性，发现客服工作中的问题更快速、更高效，质检成果的展现也更直观、更有时效性，最终做到有效的督促提升客户服务中心的整体工作质量，体现质检部门应有的真正价值。 客服人员服务过程可视化； 帮助实现自动化质检； 结合培训体系提升员工服务效率； 提升风控管理水平，防止客户数据泄露； 为客户投诉提供了确凿的证据； 解决在线客服的质检难题。5. 产品部署UEBA的部署方式分为单系统部署与集群部署方案。455.1 单系统部署单系统部署示意图如下：每台被监控桌面需安装agent软件，UEBA部署的网络要求简单，仅需被监控终端以及查看

34、数据的审计终端到UEBA之间网络可达，被监控终端上的agent程序可传输数据到UEBA，以及审计终端可访问UEBA即可。5.2 集群部署方案在大规模使用，面对海量数据的情况下，可以进行集群化部署，集群化部署示意图如下：可按照需要堆叠式部署多台录像服务器，每台服务器都可以接收视频和文本数据，并对数据进行处理，建立索引，储存索引后数据。这其中需要选择两台开启策略服务、门户服务和数据服务，作为策略服务器，并且互为热备，保证高可用性。 被监控终端上的agent程序会首先连接策略服务器，获取录屏策略，策略服务器会根据轮询等算法为终端分配录像服务器，所有视频与文本数据会上传至分配的录像服务器，保证所有录像

35、服务器之间负载的均衡。 同样的，监控和审计人员访问审计数据时，也先需登录提供门户服务的策略服务器，当播放录像或者实时监控时，会随机分配到负载的录像服务器。 录像服务器可大规模扩展，随时按需增加。单台录像服务器（8核，32G内存服务器）即可支持多达300单摄像头客户端的并发连接，多台叠加后，可完全支持大规模部署、海量数据的需要。6. 性能参数 终端性能参数资源占用：CPU:2%-3%,内存：10M，硬盘：5M；带宽占用：每客户端需要网络带宽大约为20Kbps 。 服务器性能参数单套服务器（8Core cpu、32G内存）支持500并发连接；集群部署需至少3台服务器，平均每台服务器日志存储量不超过

36、5000万条；按200用户计算，共计需要带宽8M；存储需求：windows应用操作大约1小时10M，浏览器应用操作大约1小时15M。200用户，每天8小时，6个月历史存储，需要2-4T。7. 产品特点与优势 可视化录屏对桌面的变化进行完整和连贯的录像，精确记录用户操作，不遗漏任何细节，录像可进行操作定位回放，员工操作行为可视化，记录下的视频具有法律效应，为商业纠纷及行为过程提供有效证据。实时监控，实时掌握行为动向。由于特有录屏技术，视频数据占用存储超小。 丰富的行为捕捉 支持丰富的行为数据捕捉，包括键盘事件、鼠标事件、网页浏览行为、文档操作行为、CHAT行为、邮件行为、运维工具操作行为等。捕捉

37、的行为生成可视化的数据和文本，可以直接进行检索和调阅，并且和录屏关联。 行为和效率分析 基于行为操作数据，提供强大的行为分析能力，帮助用户发现滥用、欺诈、泄露敏感数据等安全问题，并可以发现员工之间的潜在关系和工作交集。通过行为数据的分析，提供员工工作时间、内容及工作效率的统计，提升用户的客户服务质量，有效提升工作效率。 低资源消耗被监控桌面上运行的Agent程度对资源的消耗保持在低水平，对CPU不超、内存和带宽的占用都超小，可做到用户无感知，完全不影响正常业务行为。Agent本身也具有防卸载功能，即使有技术基础的操作者也无法卸载或停止 智能搜索引擎把搜索引擎技术应用到企业日志检索中，UEBA会

38、把所有抓取和接收的源数据自动处理，提供统一搜索入口，用户即可如使用普通搜索引擎一般，直接输入关键字、时间、业务信息等条件，进行便捷搜索。视频录像结合文本日志进行操作行为分析，实现了审计的可操作行，使得便捷的搜索、快递的定位、自动化的筛选归类等一系列审计分析手段成为可能，在此基础上的自定义报表、视图及搜索等，成为审计人员的强大工具。 多平台支持 全面支持Vmware View、Citrix Xen Desktop、华为FusionAccess等主流云桌面平台，支持Windows Xp、Windows Server2003、Win7、Windows Server 2008、Win8、Windows

39、 Server 2012等全系列的Windows操作系统。 同时经过Citrix、华为等云桌面厂商严格的融合测试，验证了UEBA良好的兼容性，获得测试厂商的官方认可，结成了战略合作关系。 应用场景多 可满足众多应用场景的需要，为客户提供多方面核心价值。 通过UEBA，可以对客服中心、营业网点、操作中心、运维开发、外包团队等人员的工作过程实现高效而细致的分析，检查工作流程是否符合业务规范，评估操作是否熟练，最终促进业务工作的质量和效率。可帮助IT系统在安全上的防范工作，发现人员的高危敏感行为，防止数据泄露，尤其在保证第三方人员的行为可控方面，UEBA可发挥良好作用。 满足安全规范要求SOX、IS

40、O 27001、等级保护标准和银监会相关规范等多种行业标准和安全规范，对信息系统中操作风险的监控上都做了明确要求，UEBA将帮助企业在IT建设上更好地满足标准和规范要求。8. 客户案例8.1交通银行太平洋卡中心 艺赛旗UEBA帮助交通银行太平洋卡中心成功实现了服务全过程的可视化，为客户投诉和客服人员的违规操作提供了确凿的证据。实现了对客服人员的自动化质检，解决在线客服的质检难题。通过操作行为和效率分析并结合培训体系，提升了员工服务效率，发现客服人员违规操作，提升风控管理水平，防止客户数据泄漏。8.2浦发银行 浦发银行通过使用艺赛旗UEBA，对操作中心员工操作的每笔业务自动生成操作过程的全录屏，

41、完整记录员工业务操作过程，通过可视化的数据，观察员工工作模式。通过行为分析和效率分析，详细分析出业务人员的工作行为和工作效率，体现业务人员使用业务工具的时间，效率低的员工问题在哪，帮助提高工作效率和生产力。8.3上海移动 艺赛旗UEBA帮助上海移动实现对运维及外包团队工作行为全过程的可视化及工作行为分析，即可以帮助杜绝潜在危害，发现异常行为，也可以帮助提升开发效率。对运维过程中主机、数据库、网络设备的操作进行监控、记录和分析，主动实现对敏感数据访问的告警，降低敏感信息泄漏事故发生率。严密监控企业内核心机密文档的传播途径，发现潜在的商业欺诈。通过对研发人员的行为和效率分析，协助研发定位问题，体现

42、研发人员工作效率和工作时间，提升研发效率，实现对外包团队的工作模式评价及风险控制。8.4江南农村商业银行 艺赛旗UEBA完全满足银监会对办理理财、信贷等业务时需要进行录音录像的需求，帮助江南农村商业银行全面实现理财、信贷、现金交易等业务的录音录像，同时进行录屏，真实还原柜员操作业务全过程，同步播放录音录像录屏，为潜在的纠纷提供了更为确凿的证据。同时实现了在柜员办理相关业务时自动触发录音录像，避免了人为的的漏录规范了业务人员的操作行为，提升整体风控管理水平。8.5深圳公安 深圳公安主要通过PC、TC、PAD等终端进行办公，从安全合规的角度考虑，办公过程会涉及到一些核心资料的查看，比如重要案卷的调

43、阅、敏感人员信息的查看，可能存在信息泄露的安全隐患，或者办公人员不按照规定流程违规办理业务等行为。 艺赛旗UEBA帮助深圳公安对整个办公过程进行桌面录屏，并抓取办公人员所有的桌面操作过程形成可视化文本，抓取到的数据源进行分析、整理、统计，通过实时监控、检索、报表、告警等方式呈现给监控审计人员。有利于管理审计部门对整个办案过程实时掌控，及时发现违规甚至违法操作，避免操作风险和信息泄露事故，为整个系统的安全合规使用奠定了坚实的基础。8.6我们的客户。上海艺赛旗软件有限公司上海公司（总部）地址：上海市长宁区金钟路968号凌空SOHO2号503室电话：021-64157355传真：021-62226805南京研发中心地址：南京市雨花区软件大道106号雨花软件园A栋11F第 36 页 共 37 页