脅威は、社内ユーザーと社外ユーザーの両方からもたらされます。したがって、脅威を軽減するには、ユーザーアクティビティを絶え間なく詳細に監視することが極めて重要です。これまでに起きた大規模なデータ侵害の大半は、ユーザーのセッションアクティビティ、とりわけ特権を持つユーザー(社内ユーザー)のセッションアクティビティを監視していなかったために起こっています。
ITセキュリティ担当者が企業のネットワークシステムでユーザーのアクティビティに関するセキュリティインテリジェンスを収集するとき、なくてはならないのがユーザー監査証跡です。ハッカーが実際に社内のマシンに侵入した場合には、ユーザー監査証跡が最も重要な情報になります。ログのフォレンジック調査プロセスで役に立ち、ハッカーのアクティビティをログインからログアウトまで時系列に沿って完全に把握できる情報になります。
EventLog Analyzerで万全のユーザー監査証跡を確保
EventLog Analyzerには、ネットワーク上のユーザーアクティビティを追跡してシステムとデータの悪用を検出できる、リアルタイムのユーザーセッション監視機能があります。全ユーザーをリアルタイムで監視し、ユーザーがログインした瞬間からログアウトするときまでに発生したあらゆるユーザーアクティビティについて、完全な監査証跡を記録した詳細なレポートが生成されます。ユーザーのログイン、ログアウト、ログインの失敗、監査ログの正常なクリア、ポリシーの変更、オブジェクトへのアクセス、ユーザーアカウントの変更など、クリティカルなイベントに関する正確な情報を、EventLog Analyzerを使うことでITセキュリティ担当者はリアルタイムで得ることができます。
ITセキュリティ担当者は、社内ネットワークユーザーのセッションアクティビティのユーザー監査証跡を監視して解析し、悪意のあるアクティビティやセキュリティ違反をリアルタイムで検出できるようになります。EventLog Analyzerで監査証跡を監視すれば、どのユーザーのアクティビティに異常があるのか、それが社内ユーザーなのか社外の攻撃者なのかを突き止めることができます。
また、特権ユーザーのアクティビティを追跡して、 特権アカウント(PUMA)レポートを生成します。
EventLog Analyzerによるユーザーセッショントラッキングのメリット
万全のユーザー監査証跡 – あらゆるユーザーアクティビティが時系列で完全に記録されるので、発生したイベントと発生元のユーザーを特定することができます。ユーザー監査証跡は、ネットワークで起きるどんなことについても、「誰が、何を、いつ、どこで、どのように」を明らかにします。
ネットワークインシデントの再構成 – ユーザーアクティビティのタイムラインを解析して、ネットワークインシデントをすべて再構成し、ネットワーク上の問題が発生した経緯、時間、原因をピンポイントで特定します。
プロアクティブな脅威検出 –悪意のあるユーザーの行動パターンをリアルタイムで検出して解析し、ネットワーク上のクリティカルな資産への不正アクセスを防ぎます。