クリア

Log360 UEBAでのリスクスコアリング

Log360 UEBAでリスクスコアリングが実施される脅威には以下5つのカテゴリ存在します。

  • 内部脅威: データの削除、ログオン成功の異常、異常なファイルアクセス許可の変更、Windowsアプリケーションのホワイトリストの異常などのアクティビティは、内部脅威として分類されます。
  • データ流出: 悪意のあるソフトウェアのインストール、ログオン失敗の異常、ログオン成功の異常、データの蓄積、データのアップロードの異常、異常なファイルの作成などのアクティビティは、データの流出として分類されます。
  • 感染したアカウント: ログオン失敗の異常、悪意のあるソフトウェアのインストール、システムファイルの変更、イベントログの削除などは、感染したアカウントとして分類されます。
  • ログオン異常: ログオン失敗の異常およびログオン成功の異常が、ログオン異常として分類されます。
  • 異常データのサマリー: クラウド環境、データベース、ファイルサーバーなどで発生するその他のさまざまな異常なアクティビティが検出された場合、異常データのサマリーとして分類されます。他の異常タイプである、内部脅威、データ流出、感染したアカウント、ログオン異常も、異常データのサマリーのリスクスコアリングに寄与します。
    • risk-scoring.png

管理対象ユーザーまたはエンティティににおいて検知されたアクティビティが、予想されるアクティビティのベースラインから逸脱するたび、上記の脅威カテゴリの1つ以上に関連付けられたユーザーまたはエンティティのリスクスコアが増加します。

リスクスコアのカスタマイズ

脅威カテゴリのリスクスコアに影響を与える各アクティビティに割り当てる「重み」と「減衰係数」をカスタマイズできます。さらに、以下2つの実施が可能です。

  • 各脅威カテゴリ内において異常なアクティビティを選択する。
  • 各脅威カテゴリ内に異常なアクティビティを追加する。

動的ピアグループ分析

UEBAは、ユーザーおよびエンティティを行動特性に基づいて自動的にグループ化する機能(動的ピアグループ分析)を持ちます(当該機能を使用するためには、有効にする必要があります)。当該機能を有効化することで、UEBAがリスクスコアを計算するときに、ユーザーまたはエンティティのピアグループを考慮します。ピアグループを考慮することによって管理対象環境に対する理解力が増加するため、誤検知が減少します。

コンテキストリスクスコアリング

コンテキストリスクスコアリングを有効にすることで、現時点でユーザーがもたらすリスクに対する理解力が向上します。当該機能を有効にすることで、ダッシュボードにピークリスクスコアおよび平均リスクスコアに加えて、ユーザーのコンテキストリスクスコアを表示できます。コンテキストリスクスコアは、リスクの動的な測定値を提供するために、選択した時間範囲の日時後に発生するすべての異常を考慮します。これにより、ユーザーが現在もたらしているリスクへの理解力が向上します。

       概要