会计，审计和问责制(Accounting, Auditing, and Accountability)& 用户和实体行为分析（UEBA）

日志是会计的工作成果。可以通过查看或检查（审核）一组相关日志（审核记录）以唯一地将活动跟踪到实体来实现问责制。

会计，审计和问责制（又一个AAA）
. 问责制 是“安全性目标，它产生了将实体的操作唯一地追溯到该实体的要求。” （NIST SP 800-33）
. 审计 是“独立审查和检查记录和活动，以评估系统控制的充分性，以确保遵守既定的政策和操作程序。” （NIST SP 800-12 Rev.1）
. 审核跟踪 是“按时间顺序的记录，用於重建和检查与安全相关的事务中从开始到最终结果的周围或导致特定操作，程序或事件的活动顺序。” （NIST SP 800-53修订版4）

安全信息和事件管理(SIEM)
安全信息和事件管理（SIEM）是指支持审核和跟踪责任制的收集，分析，关联和相关活动。SIEM服务器是支持安全信息和事件管理的服务器。

用户和实体行为分析（UEBA）
Gartner定义的用户行为分析（UBA）是一个有关检测内部威胁，针对性攻击和财务欺诈的网络安全流程。UBA解决方案着眼於人类行为模式，然後应用算法和统计分析从这些模式中检测出有意义的异常，即表明潜在威胁的异常。
UBA技术的发展促使Gartner将类别扩展到用户和实体行为分析（“ UEBA”）。2015年9月，Gartner发布了由副总裁兼杰出分析师Avivah Litan撰写的《用户和实体分析市场指南》，其中提供了详尽的定义和解释。在早期的Gartner报告中提到了UEBA，但没有深入探讨。从UBA扩展定义包括设备，应用程序，服务器，数据或任何具有IP地址的内容。它超越了以欺诈为导向的UBA的重点，而涵盖了更广泛的范围，其中包括“恶意和滥用行为，否则现有的安全监视系统（如SIEM和DLP）不会注意到。” 增加的“实体”反映出设备可能在网络攻击中起作用，并且在发现攻击活动中也可能很有价值。“当最终用户受到威胁时，恶意软件可能会处於休眠状态，并且几个月都不会被发现。
资料来源：维基百科

参考
. 用户行为分析
. 安全信息和事件管理

资料来源： Wentz Wu QOTD-20210308