行为风险分析的五种手段 1. 异常建模：使用机器学习模型和异常检测来识别异常行为，比如用户从无法识别的IP地址访问网络，用户从与其角色无关的敏感文档存储库下载大量知识产权(IP)，或者流量从组织没有业务往来的国家或地区的服务器发来。 2. 威胁建模：使用来自威胁情报源的数据和违反规则/策略的情况，寻找已知的恶意行为。这可以快速轻松地筛选出简单的恶意软件。 3. 访问异常建模：确定用户是否在访问不寻常的资产或不应该访问的资产。这需要提取用户角色、访问权限及/或身份证件方面的数据。 4. 身份风险剖析：根据人力资源数据、观察名单或外部风险指标，确定事件所涉及的用户风险级别。例如，最近没有被公司考虑升职的员工也许更有可能对公司怀恨在心，企图进行报复。 5. 数据分类：标记与事件有关的所有相关数据，如涉及的事件、网段、资产或账户，为安全团队提供上下文信息。