概述

用户实体异常行为分析(User Entity Behavior Analysis, UEBA)，是一种基于用户(包含自然人和设备实体等，后续统称用户)在系统的行为模式，分析是否存在异常，并提示给系统管理人员的高级安全功能。

用户异常行为的场景通常包括：账号异常、AK异常、设备异常、操作行为异常、主机失陷、横向移动等。本文将介绍如何创建、管理不同场景下的风险行为，以及如何接收风险行为的告警通知。

注意：本期仅支持AKSK未使用、AKSK调用异常两种风险行为

公测说明

用户实体异常行为分析功能目前处于公测状态，仅对白名单内的账户开放。开通公测请联系大客户服务经理。

创建风险行为

1、登录百度智能云管理控制台，点击右上角头像，点击多用户访问控制。 2、进入多用户访问控制 > 异常行为分析 > 风险行为管理。

风险行为包括预置行为、自定义行为：

1、预置行为是百度智能云预设风险行为，不支持编辑或删除；2、自定义行为是管理员根据实际的业务需要，配置出的特定场景下的风险行为，相比于预置行为，自定义行为监测的粒度更细，风险行为内容配置更加灵活。

3、点击创建行为。

4、选择行为模板，输入风险行为配置内容，点击确定，完成自定义行为创建。

管理风险行为

1、针对预置行为，仅支持风险行为的启用、禁用。

2、针对自定义行为，可以对风险行为进行编辑、删除、启用、禁用。

告警通知

在消息中心 > 消息接收设置 > 安全消息中，已为用户设置好了用户异常行为通知，并支持短信、邮件、站内信、钉钉机器人、企业微信机器人等五种通知渠道，通知渠道的配置请参考消息中心。

当风险行为出现异常时，会根据配置好的通知渠道发送告警通知。

注意：对于AKSK异常的告警通知，仅会在邮件中提示用户具体发生异常的AK。