UEBAとは?
内部/外部からの攻撃を防御する最善策の一つは、UEBA(User and Entity Behavior Analytics:ユーザーおよびエンティティの行動分析)を用いて、ユーザーやデバイスの行動を継続的に監視することです。UEBAは、ユーザーやエンティティの行動を学習し、通常の行動のベースラインを作成します。
ベースラインから逸脱する行動は、「異常」としてフラグが付けられ、問題の調査やリスク軽減に必要な手順を実行するのに役立ちます。機械学習を活用したUEBAソリューションは、経験を積めば積むほど効果的になります。
Log360のUEBA機能
Log360のUEBA機能では、ファイアウォール、ルーター、ワークステーション、データベース、ファイルサーバーなど、様々なソースのログを分析します。通常の動作から逸脱する行動を時間、回数、異常パターンに分類します。リスクスコア、異常傾向、直感的なレポートにより、IT管理者に実用的な洞察を提供します。
ファイアウォール
CISCONet ScreenSophosPalo AltoWatch GuardWindows
ルーター
CiscoHewlett Pakard
ワークステーション
クライアントPC
Windows 10Windows 8.1 Windows 8 Windows 7 Windows Vista Windows XP Prof. X64 ed. Windows XP
サーバー
Window Server 2019 Window Server 2016 Window Server 2012 Window Server 2012 R2 Window Server 2008 Window Server 2008 R2 Window Server 2003 Window Server 2003 R2
データベース
OracleSQL ServerMy SQL
ファイルサーバー
Windows Servers
レポートとチャート
次のようなレポートへのアクセスが可能です。
ログオンレポート ファイル操作レポート ログオン失敗レポート ファイアウォール変更レポート 設定変更レポート
レポート生成に使用されるすべてのデータは、グラフィック形式で表示できます。
リスクスコア
ユーザーとエンティティのリスクスコア
UEBAは、すべてのユーザーおよびエンティティのリスクスコアを保持しています。ユーザー/エンティティの動作がベースラインから逸れるとリスクスコアが上がります。これにより、即座に問題を調査し、セキュリティ侵害を防止することが可能です。
異常傾向
特定の期間における異常の数の変動をグラフィカルに表示します。
UEBAの利点:
リスクスコアの活用で、内部脅威、アカウント侵害、
データ流出を防止します。
リスクスコアは、実際の行動とベースラインとの比較により算出されます。リスクスコアは、事前に定義された行動の重み、ベースラインからの逸脱度、逸脱の頻度、逸脱からの経過時間などの要素により、0(リスクなし)〜100(最大値)で示されます。
総合スコアに加え、内部脅威、アカウントの侵害、データ流出に関するスコアも算出します。リスクスコアを参照することで、優先的に調査すべき脅威の選定が容易となり、潜在的なインシデントの防止に役立ちます。
ユーザーやエンティティのリスクスコアを高める可能性のある行動として、 内部脅威、アカウントの侵害、データ流出が挙げられます。
Log360 UEBAを使用すると、次のことができます。
- あらゆるユーザーアカウントのマッピング、ユーザーおよびエンティティの動作に対するベースラインの作成
- ユーザーのあらゆる動作を相互的に関連付けた、より意味のあるセキュリティコンテキストの取得
- 動作の時間、回数、パターンに基づいた、ユーザーの異常な動作の特定
- Windowsデバイス、SQLサーバー、FTPサーバーや、ルーター、ファイアウォール、スイッチなどのネットワーク機器におけるエンティティの異常な動作の特定
- 内部攻撃、アカウントの侵害、データ流出から生じる脅威の発見
- スコアベースのリスク評価に基づいた、脅威の優先順位付けおよび、調査すべき脅威の判断の容易化
- SIEMデータではわからない脅威の文脈および実体の把握
- 実際の動作やベースラインの詳細など、侵害の兆候に関する実用的なレポートの確認
- 任意のユーザーまたはエンティティのリスクスコアおよび、特定の動作に対するスコアの確認