クリア

利用可能なレポート

Log360 UEBAは、デバイス、データベースなどのアクティビティの異常を特定するのに役立つ包括的なレポートを提供します。各異常は、時間ベース、カウントベース、およびパターンベースに分類できます。これに加えて、異常はユーザーとシステムで別々に分析できます。

ueba-anomalies-reports
オプション イベントソース 異常レポート
デバイス Windowsデバイス
  • 起動とシャットダウン
  • サービスとソフトウェアのインストール
  • USBアクティビティ
  • レジストリのアクティビティ
  • アプリケーションのホワイトリスト
  • ログオン
  • ファイルの変更
  • ネットワーク共有アクティビティ
  • ファイアウォールの変更
Unixデバイス
  • USBアクティビティ
  • Cronジョブ
  • ログオン
  • VMwareログオン
  • ファイル転送
ルーター
  • 構成変更
  • ログオン
アプリケーション Active Directory監査
  • ログオン
  • プロセスアクティビティ
  • ユーザー管理
Microsoft SQL Server
  • DDLおよびDMLアクティビティ
  • ログオン
  • 起動とシャットダウン
  • パスワード変更
  • アカウント管理
FTPサーバー
  • ファイル転送
  • ログオン
  • ファイルアクティビティ
ファイアウォールデバイス -
  • 許可および拒否されたトラフィック
  • ログオン
  • ポリシーアクティビティ
  • VPNログオン
  • 割り当てられたVPN IP
  • VPN接続状態
  • VPNユーザー
クラウドサービス Azure
  • ユーザアクティビティ
  • ネットワークセキュリティグループの変更
  • パブリックIPアドレス
  • 仮想マシン/計算
  • データベース
  • ストレージアカウント
  • リソースロック
  • 仮想ネットワークの変更
  • アプリケーションゲートウェイの変更
  • DNSの変更
  • トラフィックマネージャー
AWS
  • ログオン
  • IAMアクティビティ
  • ユーザアクティビティ
  • ネットワークセキュリティグループの変更
  • VPCアクティビティ
  • WAFの変更
  • セキュリティトークンサービス
  • AWS構成レポート
  • Amazon Auto Scalingレポート
  • Amazon ELBレポート
  • RDSレポート
  • S3バケットアクティビティレポート
  • EC2レポート
  • Route 53
Google
  • ユーザアクティビティ
  • IAMアクティビティ
  • ネットワークセキュリティの変更
  • VPCアクティビティ
  • ネットワークサービス
  • ハイブリッド接続
  • 仮想マシン/計算
  • クラウド機能
  • App Engine
  • Google Storage
  • GCPリソース管理

異常レポート

異常レポートは、以下のデバイスに対して生成されます。

  • Windows、Unix、およびCiscoデバイス。
  • Active Directory、SQLサーバー、PAM360、FTPサーバーなどのアプリケーション。
  • 様々なベンダーのファイアウォールデバイス。
  • AWS、Azure、Googleなどのクラウドサービス。

上記に加えて、Log360 UEBAは、包括的な特権アクセス管理ソリューションであるManageEngine PAM360と緊密に統合することにより、特権アクセスの異常も検出します。

異常は、ユーザーまたはエンティティ(マシン)の両方について追跡できます。また、次のような異常の種類が存在します。

  • 時間ベース:アクティビティが通常発生する予定の時間と実際に発生した時間の間に逸脱がある。例えば、通常午後11時から午後11時15分の間にログオンするユーザーAが、奇妙なことに午前5時16分にログオンしている。
    • Windowsログオンの時間ベースの異常のサンプル Windowsログオンの時間ベースの異常のサンプル
  • カウントベース:予想されるアクティビティ数と実際のアクティビティ数の間に逸脱がある。例えば、通常1日にファイル変更が73回発生するファイルサーバー上で、予期しない399回のファイル変更を示す。
    • Windowsログオンの時間ベースの異常のサンプルファイル変更におけるカウントベースの異常のサンプル
  • パターンベース:予期しない一連のイベントが発生する。個別に取得された各イベントは異常ではないが、各イベントを一連のイベントとして考慮すると、予想から逸脱するケース。例えば、あるソフトウェアがueba_user1(ユーザー)によって、午後4時19分にサーバーAにインストールされたという異常があります。もしueba_user2(ユーザー)によってインストールされていれば異常ではありません。何故ならueba_user2は以前にも同様の一連イベントを実行しているからです。
    • Windowsログオンの時間ベースの異常のサンプル ソフトウェアインストールにおけるパターンベースの異常のサンプル

異常の可視化

異常の可視化により、管理者は分析されたすべての異常のグラフィック表現を表示できます。観測値が予想される値よりどれだけ離れているかを示します。

異常を可視化するには:

  • 任意の異常レポートに移動します。
  • [詳細の表示]タブ下にある"詳細の表示"リンクをクリックします。
  • ウィジェットが開き、異常のグラフィック表現が表示されます。

これは、時間異常の異常視覚化チャートのサンプルです。この例では、特定のユーザーの予想ログオン時間は午後11時から午後11時15分までですが、実際のログオン時間は午前5時15分から午前5時30分と記録されています。

Windowsログオンの時間ベースの異常のサンプル ログオン時間の異常に対する異常の可視化

これは、カウント異常の異常視覚化チャートのサンプルです。この例では、ホストLog360QA-W12-2上で、1383件のファイル削除が観測されていますが、予想される値は1033件しかありません。

カウント異常の異常視覚化 カウント異常の異常可視化

Log360 UEBAは、パターン異常の異常視覚化チャートも提供します。以下の例では、ユーザーDWM-3が対話型ログオン(ログオン種類2)を使用してホストitsl360-2k12-1にログオンしています。これはまれなパターンとして識別され、異常としてマークされます。

パターン異常の異常可視化 パターン異常の異常可視化
       概要