リスクスコアリング

Log360 UEBAでリスクスコアリングが実施される脅威には、以下5つのカテゴリ存在します。

  • 内部脅威:データの削除、ログオン成功の異常、異常なファイルアクセス許可の変更、Windowsアプリケーションホワイトリストの異常などのアクティビティは、内部脅威として分類されます。
  • データ流出:悪意のあるソフトウェアのインストール、ログオン失敗の異常、ログオン成功の異常、データの蓄積、データアップロードの異常、異常なファイル作成などのアクティビティは、データの流出として分類されます。
  • 感染したアカウント:ログオン失敗の異常、悪意のあるソフトウェアのインストール、システムファイルの変更、イベントログの削除などは、感染したアカウントとして分類されます。
  • ログオン異常:ログオン失敗の異常およびログオン成功の異常が、ログオン異常として分類されます。
  • 異常データのサマリー:クラウド環境、データベース、ファイルサーバーなどで発生するその他の様々な異常アクティビティが検出された場合、異常データのサマリーとして分類されます。他の異常タイプである、内部脅威、データ流出、感染したアカウント、ログオン異常も、異常データのサマリーのリスクスコアリングに寄与します。
    • risk-scoring.png

ユーザーまたはエンティティにおいて観察されたアクティビティが、予想されるアクティビティのベースラインから逸脱するたびに、上記の脅威カテゴリの1つ以上に関連付けられたユーザーまたはエンティティのリスクスコアが増加します。

リスクスコアのカスタマイズ

脅威カテゴリのリスクスコアに影響を与える各アクティビティに割り当てる「重み」と「減衰係数」をカスタマイズできます。さらに、以下2つの実施が可能です。

  • 各脅威カテゴリ内の異常なアクティビティを選択する。
  • 各脅威カテゴリ内に異常なアクティビティを追加する。

ピアグループ分析

UEBAは、ユーザーおよびエンティティを行動特性に基づいて自動的にグループ化する機能(ピアグループ機能)を持ちます。当該機能を有効化した場合、UEBAがリスクスコアを計算する際にユーザーまたはエンティティのピアグループを考慮します。ピアグループを考慮することによって管理対象環境に対する理解力が増加するため、誤検知が減少します。ピアグループの詳細は、こちらのページをご参照ください。

コンテキストリスクスコアリング

コンテキストリスクスコアリングを有効化した場合、現時点でユーザーがもたらしているリスクに対する理解力が向上します。当該機能を有効にすると、ダッシュボードにピークリスクスコアと平均リスクスコアに加えて、ユーザーのコンテキストリスクスコアを表示できます。コンテキストリスクスコアは、選択した時間範囲の後で発生したすべての異常を考慮し、動的なリスクスコアを提供します。これにより、ユーザーが現在もたらしているリスクへの理解力が向上します。