UBA（ユーザーの振る舞い検知）

各ユーザーの平常時の活動をベースラインとして集計し、普段とは異なる活動が発生した際に「異常」として検知します。ベースラインは、日々の集計により常に更新されます。以下の3項目を監視します。

• 異常なカウント:特定の活動に対するイベントの発生数が、平常時と比べて大きく異なる場合にアラートが発生します。
• 異常な時間:イベントの発生時間が、平常時と比べて大きく異なる場合にアラートが発生します。
• 新しいリソースへのアクセス:新しいリソースのアクセスがあった際にアラートが発生します(例：初めてのユーザーからログオンイベントが発生した場合、新しいプロセスが起動した場合など)。

UBAの仕様

• ドメインを登録後、7日間データの集計が行われ、通常時の振る舞いを記録したプロフィール情報が作成されます。
• 7日間以降 (プロフィール情報が作成後) は、振る舞い検知機能が毎日午前5時に作動し、異常な活動の発生有無を確認します。
• ppmを適用した (アップグレードを実施した) ビルドの場合は、直近1ヶ月分のイベントが解析対象となり、ビルド5050にアップデートを行った翌日午前5時にプロフィール情報が生成され、異常な活動の発生有無を確認します。
• 異常なカウントについて、ユーザーの通常アクティビティのカウントが10より少ない場合、あるいは通常アクティビティが計上されていない場合、デフォルトとしてしきい値が「10」と設定されます。
• 収集データが多いほど、異常検知の精度が高まります。
• 異常なカウントおよび異常時間には、過去3ヶ月のデータが使用されます。

UBAレポート

異常なログオンアクティビティ

• 異常ログオン失敗カウント
• 異常ログオン活動時間
• ホストの異常ユーザーアクセス
• ホストの異常ログオン失敗カウント
• ホストの異常ログオン活動時間
• ホストの異常リモートアクセス

異常なユーザー管理アクティビティ

• 異常ユーザー活動カウント
• 異常ユーザー活動時間
• 異常ロックアウト活動カウント
• 異常ロックアウト活動時間

異常なプロセスアクティビティ

• サーバーの新規プロセス

異常なファイルアクティビティ

• 失敗したファイルアクセスの異常なボリューム
• 異常ファイル活動カウント
• 通常とは異なる時間帯にファイルアクティビティが実行されました
• 異常ファイル変更カウント
• ファイル削除数が異常に多い