Benutzer- und Entitätsanalyse. Die User and Entity Behavior Analytics (UEBA) kann ungewöhnliche Aktivitäten auf Benutzerkonten erkennen, die auf eine mögliche Bedrohung hinweisen. Hierzu zählen beispielsweise ungewöhnliche Anmeldeversuche, das Versenden von E-Mails an verdächtige Empfangsadressen oder ein ungewöhnlich hohes Aufkommen von Verschlüsselungsoperationen. Durch die Analyse des Benutzerverhaltens kann Sentinel potenzielle Bedrohungen frühzeitig erkennen und verhindern. An dieser Stelle werden personenbezogene Daten verarbeitet. Grundlage für die Benutzer- und Entitätsanalyse ist ein sog. Baselining, in dem Nutzergewohnheiten zuordenbar aufgenommen werden. Hierfür werden Daten ausschließlich aus bereits bestehenden Logdateien verwendet, um Referenzwerte für das normale Nutzerverhalten zu erhalten. Erst durch diese Referenzwerte können sicherheitsrelevante Anomalien bestimmt werden. Zu den verwendeten abstrahierten Daten gehören z. B. der Status der Antivirenprogramme, Firewalleinstellungen oder Kommunikationsbeziehungen der verwendeten IP-Adressen. Zu den verwendeten direkt zuordenbaren Daten zählen z. B. die Anzahl der Anmeldungen in einem bestimmten Zeitraum, die verwendeten Geräte des Benutzers oder auch die aufgerufenen Anwendungen. Sowie dieses Baselining abgeschlossen ist, können Bedrohungen, die den Benutzer selbst als Eingangstor verwenden, durch eine Veränderung des bisherigen Verhaltens erkannt und verhindert werden. Diese Angriffe sind oftmals mit herkömmlichen Mitteln nicht zu erfassen. Grund hierfür ist, dass fortgeschrittene Angriffsszenarien aus einer Vielzahl verteilter Schritte bestehen, die für sich genommen kaum oder gar nicht von erlaubten Tätigkeiten zu unterscheiden sind.
