En el mundo IT, los sistemas User and Entity Behavior Analytics (UEBA) son utilizados para mejorar la detección de actividad maliciosa por usuarios internos o amenazas externas a través de la monitorización de actividad anómala en usuarios, entidades y el comportamiento de los sistemas. Un sistema UEBA puede verse como una extensión del SIEM que utiliza el aprendizaje automático y la ciencia de datos para modelar el comportamiento normal de los usuarios y entidades (como máquinas, routers, servidores, etc.) dentro de una red, y detectar desviaciones de esa línea base que pueden indicar una amenaza. El UEBA también puede utilizar puntuaciones de riesgo para priorizar alertas y reducir falsos positivos. El tipo de amenazas a las que se orientan los sistemas UEBA son, fundamentalmente: insider threats, robos de identidad y privilegios, y ataques de fuerza bruta para obtener contraseñas de acceso a cuentas de usuario.

Las técnicas o modelos IA aplicables a los sistemas UEBA son muy diversos. En la literatura podemos encontrar múltiples métodos usados para la detección de anomalías en los comportamiento de usuarios, encontrando, entre otras, aproximaciones de base estadística, redes neuronales, modelos ocultos de Markov, aprendizaje de reglas, árboles de decisión, support vector machines , y computación fuzzy.  Sin embargo, mayoritariamente se utilizan aproximaciones de base estadística.

En cuanto a las propuestas académicas de sistemas UEBA, existen numerosas aproximaciones dentro del contexto general IT. Uno de los desafíos del contexto académico es la falta de aplicabilidad de los resultados académicos en escenarios real. En general,   en el mundo académico se realizan comúnmente algunas asunciones en sus investigaciones que resultan incorrectas. Así, se supone: que dispondremos de datos limpios de ataques para el entrenamiento del sistema, que los datasets serán representativos de la realidad y no varían con el tiempo, etc. Otro de los problemas es la usabilidad del sistema: en la literatura científica el rendimiento de un sistema de IA viene determinado en muchos casos por métricas agregadas como F-score, con resultados que admiten tasas de Falsas Alarmas superiores al 1%. Sin embargo, en el mundo real el coste de un error es muy alto, pues generará una alarma que debe ser investigada por personal especializado. Por tanto, las métricas de rendimiento deben considerar tasas de falsos positivos muy inferiores al 1%. En productos comerciales se pueden medir tasas entorno al 0.01% con una proporción de alarmas correctas y falsas alarmas superiores a 1.