Perkembangan metode penyerangan cyber attack yang tidak pernah berhenti melakukan inovasi seakan membuat perangkat CyberSecurity yang kita miliki menjadi semakin kurang menunjukkan kegunaan. Di tambah, sebuah kenyataan bahwa tidak seluruhnya ancaman bersumber dari vulnerability pada software dan aplikasi, ada juga yang bersumber dari pengguna baik di sengaja maupun sebagai akibat dari kelalaian. Kita ambil contoh ancaman yang di timbulkan sebagai akibat dari kelalaian yang dijadikan sebagai pintu masuknya malicious software atau malware. Setelah menginfeksi, malware ini selanjutnya melakukan penyerangan dari dalam atau di sebut sebagai lateral movement. Hingga dalam kompleksitas tertentu, aktifitas ini bahkan tidak dapat terdeteksi sebagai penyerangan oleh antivirus maupun IDS. Dengan alasan kondisi inilah perlu sebuah pendekatan adaptive yang secara konsisten mencatat dan mempelajari rutinitas behaviour dari enduser untuk dapat diketahui pattern aktivitas dari pengguna tersebut. Dari hasil temuan pattern aktivitas inilah, system kemudian akan dapat memberikan rekomendasi patokan apakah terjadi anomali aktivitas atau tidak. Semisalnya user A biasa mendownload rata-rata sebanyak 500MB dalam satu hari, jika tiba-tiba terdapat lonjakan trafik download menjadi 5GB dalam satu hari maka hal ini bisa di kategorikan sebagai anomali sehingga perlu di lakukan penelusuran lebih lanjut. Jika ternyata anomali tersebut disebabkan ulah malware, maka deteksi dapat di lakukan lebih awal untuk tindakan penanganan lebih lanjut. Intinya, aktivitas pemantauan akan di lakukan secara kontinu, namun trigger alert bersumber dari adanya temuan anomali atas deviasi aktivitas rutin. Inilah secara umum apa yang di lakukan oleh UEBA, yaitu memperhatikan aktivitas dan mentrigger alert atas anomali dari deviasi yang terjadi. Dalam menjalankan prosesnya, UEBA memanfaatkan teknologi Machine Learning dan Artificial Intelligence. Dan tidak hanya sampai di sini, UEBA juga melakukan agregasi informasi yang bersumber dari mulai log file hingga hasil analisa flow trafik user. Intinya, UEBA akan melakukan agregasi data aktifitas dari berbagai sumber untuk kemudian di kelompokkan berdasarkan pengguna dan analisa atas terjadinya deviasi dari baseline.

Istilah User Behaviour Analysis pertama kali di pergunakan untuk mempelajari kebiasaan dari pelanggan dalam membeli produk. Atau singkatnya di sebut dengan istilah customer buying pattern. Setiap pelanggan yang melakukan aktifitas purchase akan di catat dan di pelajari oleh system, sehingga bisa di keluarkan rekomendasi berdasarkan cluster group pelanggan. Konsep ini mungkin kita dengar di pergunakan online market place seperti Amazon dan Netflix pada dekade lampau, untuk memberikan saran produk berdasarkan pembelian yang lampau dan behavior dari perngguna. Belakangan ini, konsep tersebut di pergunakan dan di kembangkan untuk memperkuat arsitektur cybersecurity dengan pendekatan dan analisa yang memberikan fokus kepada aktifitas user saat melakukan akses. Mengambil contoh kasus data breach yang di alami oleh perusahaan yang bernama Target di tahun 2013. System telah berhasil mencatat berbagai pelanggaran dari aktifitas, namun system deteksi intrusion gagal untuk menangkap aktifitas illegal ini dikarenakan data aktifitas yang terekam tidak di jadikan sebagai rule untuk notifikasi. Inilah yang menjadi awal perhatian para pakar cybersecurity untuk kemudian mempergunakan UEBA sebagai predictive analysis untuk menganalisa dan mengekstrak dari behavioural data yang terkumpul. Dengan bantuan Machine Learning dan algoritma tertentu, UEBA bisa mendeteksi anomali behaviour berdasarkan perbandingan dari aktifitas pengguna tersebut, perbandingan dengan peer dari pengguna, hingga perbandingan pengguna dalam business unit yang sama. Deteksi ini kemudian akan memberikan pertimbangan apakah cyber attack sedang terjadi dan memberikan nilai value atas digital asset yang di duga menjadi target.