UBA/UEBA staví na modelech, které rozpoznají odchylky v přístupech, pohybu dat či konfiguracích. Kombinuje signály z IAM, endpointů, sítě a aplikací. Pomáhá odhalit kompromitované účty, vnitřní hrozby a laterální pohyb. Úspěch vyžaduje kvalitní baseline chování a neustálý tuning, aby neklesala přesnost. Integrace se SIEM/SOAR urychluje reakci a vynucení politik. Obvykle dává smysl řešit soukromí a proporcionalitu sběru dat. Výstupy mají být akční a vysvětlitelné pro analytiky. Chybí-li provozní kapacity se UEBA změní v proud nerelevantních alertů.
