アラート機能を使ってActive Directoty のセキュリティー強化
インシデント発生時、対応の遅れにより、迅速に対応していれば被害を抑えることができたはずなのに、結果的に修復が不可能な被害へつながってしまう場合があります。Active Directory環境では、特に障害発生時に問題いかに早く対応できるかという点が特に重要視されます。そこで、Active Directoryに存在する脅威をリアルタイムで識別/検知し、管理者に注意を促すためのアラートシステムがあるとインシデント発生からの被害を最小限におさえることができます。
ADAudit Plusでは、アラート機能を提供します。アラート機能を使用することで、意図しない出来事を瞬時に検知をすることができ、Active Directoryのセキュリティを強化することができます。
重要度に基づくアラートの設定
ADAudit Plusは3つの重要度に基づきアラートを設定することができ、さらにユーザーやしきいをベースとしてアラートを構成することが可能です。これにより、Active Directoryで発生したイベントをさらに分類し、重要なイベントか否かの判断を効率的に行うことが可能です。
3つの重要度:
- 重要
- 障害
- 注意
アラートのカスタマイズ
ADAudit Plusは、既存のレポートプロファイルを元に自由にアラートをカスタマイズすることができます。アラートには、誰が/何を/いつ/どこで行ったのかといった、詳細な情報が含まれます。
メールによるリアルタイム通知
ADAudit Plusでは、アラートの生成時に1人または複数の管理者に対してメール通知を行なうことが出来ます。
また、必ずしもメールによる通知をおこなうよう設定を行う必要はなく、Webコンソール画面から直接確認する方法を選択することも可能です。ユーザーはWebブラウザ上からすべてのアラートを表示したり、選択したActive Directoryの変更に関するアラート通知の有効化/無効化が可能です。
ユーザー振る舞い検知(UBA)機能
UBA(User Behavior Analytics)機能とは
UBAとは、各ユーザーの活動に対する平均値を算出し、異常な活動を検知した際にはアラートとして通知する機能です。異常をいち早く検知するためには、各ユーザーの平常時における挙動(正常だと判断できるしきい値)を把握しておく必要があります。しかし、振る舞い検知に特化したツール等を使用せず、ユーザー1人1人の活動を集計し、日々の傾向を把握するというのは大変な労力を必要とする作業であり、企業規模によっては現実的ではありません。そこでADAudit Plusでは、一定期間収集したログデータからユーザーの各活動に対する平均値をツール側で算出し、さらに日々の集計の中で常に最新の平均値を算出するため、ユーザーの異常な振る舞いを効率的に検出することが可能です。
検知の対象は以下の3つに分類されます:
- 異常なカウント:特定の活動に対するイベントの発生数が、平常時と比べて大きく異なる場合にアラートが発生します。
- 異常な時間:イベントの発生時間が、平常時と比べて大きく異なる場合にアラートが発生します。
- 新しいリソースへのアクセス:新しいリソースのアクセスがあった際にアラートが発生します。
(例:初めてのユーザーからログオンイベントが発生した場合、新しいプロセスが起動した場合など)
アラート
![アラート]()
異常なカウント
![異常なカウント]()
異常な時間
![異常な時間]()
新しいリソースへのアクセス
![新しいリソースへのアクセス]()
