レポート設定

レポートのスケジュール

Log360 UEBAでは、任意の時間と間隔でレポートをスケジュール設定できます。スケジュール設定したレポートは、関係者に指定した時間間隔で自動的にメール送信できます。また、選択したストレージパスに保存することもできます。

レポートのスケジュール

レポートをスケジュールする方法

  1. [異常レポート]タブ → [定期レポート]に移動します。既に作成されているスケジュールレポートのリストが表示されます。
  2. 新しいスケジュールを作成するには、[+新しいスケジュールを作成]をクリックします。
  3. スケジュール名説明を入力します。
  4. スケジュールするレポートを選択します。同じスケジュールで複数のレポートを選択できます。
  5. [スケジュールの詳細]で、レポートのスケジュール頻度、レポートがカバーする時間範囲、およびレポートのファイル形式を選択します。スケジュールレポートの保存先パスを指定することもできます。
  6. [通知]で、レポートのメール送信有無を指定します。レポートをメール送信する場合は、通知テンプレートを選択します。レポートが空の場合に、レポートを添付しないよう設定することもできます。
  7. [保存]をクリックします。

レポートの管理

Log360 UEBAでは、定義済みレポートとカスタムレポートの両方を管理できます。定義済みレポートは、Log360 UEBAにデフォルトで搭載されているレポートです。これらのレポートは、ADAudit Plus、EventLog Analyzer、およびCloud Security Plus(日本法人では未リリース)の特定のレポートから収集したデータに基づいています。

カスタムレポートは、Log360 UEBAでユーザーが独自に作成したレポートです。ADAudit Plus、EventLog Analyzer、およびCloud Security Plusでレポートとして利用可能なデータに基づいて作成できます。また、3つのコンポーネント製品で作成したカスタムレポートから生成することもできます。


レポートを管理する方法

  1. [異常レポート]タブ → [レポートを管理]に移動します。デバイス、アプリケーション、ファイアウォールデバイス、クラウドサービス、カスタムレポート別に分類された定義済みレポートのリストが表示されます。
  2. デバイスアプリケーションファイアウォールデバイスクラウドサービス、またはカスタムレポートのタブを選択すると、選択した内容に基づいたレポートのカテゴリ名が表示されます。[異常レポート]タブ上でのカテゴリの表示/非表示を選択できるほか、[グループ数]列から各カテゴリのレポートグループ数を確認することもできます。
    ueba-report-settings-01.png
  3. 特定のカテゴリの詳細を確認するには、[グループ数]列をの数字をクリックします。クリック後、選択したカテゴリのレポートグループ名が表示されます。[異常レポート]タブ上でのレポートグループの表示/非表示を選択できるほか、[レポート数]列から各レポートグループのレポート数を確認できます。
    ueba-report-settings-02.png
  4. 特定のグループの詳細をさらに詳しく確認するには、[レポート数]列の数字をクリックします。クリック後、選択したグループのレポート名が表示され、[異常レポート]タブ上でのレポートの表示/非表示を選択できます。また、ピアグループ化とリアルタイム異常検出の設定オプションがあります。
  5. ピアグループ化オプションを使用すると、選択したレポートのピアグループ分析を有効/無効にすることができます。ピアグループの設定方法は、こちらのページをご確認ください。
  6. リアルタイム異常検出オプションを使用すると、既存のスケジュールベースの異常検出プロセスに加えて、ネットワーク内の異常なアクティビティをリアルタイムで検出できます。

注記:特定のレポートを異常分析の対象外とするには、[設定]タブ → [構成] → [異常モデリング]に移動し、画面上部の[モデル]を[事前定義されたモデル]に変更後、モデルを有効化または無効化する必要があります。


リアルタイム異常検出

リアルタイム異常検出は、スケジュールベースの異常検出の拡張機能であり、EventLog Analyzerのレポートをベースとした異常レポートで設定できます。リアルタイム異常検出が設定されたレポートでは、イベントがEventLog AnalyzerからLog360 UEBAにリアルタイムでプッシュされ、異常を検出します。これらの異常は、イベントの発生時刻、件数、パターンに基づいて追跡されます。この機能では、最大25件のEventLog Analyzerレポートを設定できます。

注記:リアルタイム異常検出が設定されたレポートの場合、スケジュールベースの異常検出は行われません。

リアルタイム異常検出を設定するには、以下の手順を実施します。

  1. [リアルタイムの異常検出]列のドロップダウンメニューをクリックします。
  2. 対象のレポートを選択し、[適用]をクリックします。
  3. 表示されるすべてのレポートを選択すると、リアルタイム異常検出が完全に設定されます。テーブルには、[設定済み]と表示されます。
  4. 表示されるレポートの一部のみを選択した場合、リアルタイム異常検出は部分的に設定されます。テーブルには、[部分的に構成されています]と表示されます
  5. どのレポートも選択されていない場合、リアルタイム異常検出は[構成されていない]と表示されます。
    ueba-report-settings-03.png
  6. [レポートを管理]画面の右上にある[リアルタイムの異常検出]をクリックすると、リアルタイム異常検出が設定されたレポートを表示および削除することができます。
    ueba-report-settings-04.png

定義済みレポートの並べ替え

カテゴリ、グループ、レポートは、左端のアイコンをクリックして必要な位置にドラッグすることで並べ替えることができます。変更はすぐに反映されます。

sharing-a-report.png

カスタムレポートの管理

  1. [異常レポート]タブ → [レポートを管理]に移動します。デバイス、アプリケーション、ファイアウォールデバイス、クラウドサービス、カスタムレポート別に分類された定義済みレポートのリストが表示されます。
  2. 画面右上の[カスタムレポートを作成する]をクリックします。[設定]タブ → [構成] → [異常モデリング]に遷移します。画面上部の[モデル]は、[カスタムモデル]が自動的に選択されます。画面には、既に設定されているすべてのカスタムモデルが表示されます。
  3. [処理]列から、カスタムモデルを有効化/無効化、編集、または削除できます。
  4. カスタムモデルを特定の技術者と共有することもできます。
  5. カスタムモデルを編集して、レポート(ソース)やリスクスコアリングの有効化/無効化を変更できます。
    sharing-a-report-technicians-pop-up.png

カスタムレポートの作成方法

  1. [設定]タブ → [構成] → [異常モデリング]に移動します。
  2. 画面右上の[+新しいモデルを作成する]をクリックします。
  3. [モデル名][説明]を入力します。
  4. [ソースを選択]でレポートを選択します。ADAudit Plus、EventLog Analyzer、Cloud Security Plusのいずれかのレポートを選択できます。統合製品から複数のレポートを選択することもできます。
    creating-custom-reports.png
  5. [フィルタ]をクリックし、[フィルタの有効化]にチェックを入れると、選択した各レポート/ソースから特定のフィールド値のみを選択して異常分析を行うことができます。これは、特定のイベントのサブセットに着目したい場合に便利です。
  6. [ピボットフィールド]を選択します。これにより、選択したレポートで利用可能なフィールドを、Log360 UEBAで表示されるフィールドにマッピングできます。この手順は、Log360 UEBAでレポートを作成する上で非常に重要です。
    • 時間:時間は必須のピボットフィールドであり、ユーザーは、ADAudit Plus、EventLog Analyzer、またはCloud Security Plusのコンポーネントから選択したレポートの「時間」(タイムスタンプ)に関する情報を含む正しい列(フィールド)を選択する必要があります。
    • エンティティフィールドには、ユーザーホストの2つがあります。時間ベース、カウントベース、およびプレーンベースの異常を分析するには、選択したレポートに少なくともいずれかのフィールドをマッピングする必要があります。マッピングするためには、選択したレポートのユーザー名またはホスト名に関する情報を含むフィールドを選択します。パターンベースの異常の場合は、ユーザー名またはホスト名をマッピングする必要はありません。

      • 注記:プレーンベースの異常は、機械学習アルゴリズムを使用して異常を検出しません。選択したレポートで観察された脅威(失敗イベントやエラーイベント)が異常としてみなされます。

  7. 異常レポートに含める[その他の項目](フィールド)を選択します。少なくとも1つ、最大5つのフィールドを選択する必要があります。マッピングは、手順6と同様の方法で行います。
    managing-predefined-reports.png
  8. [異常パラメータ]を選択します。選択したピボットフィールドに基づいて、時間、カウント、パターン、プレーンなど、様々な異常レポートビューまたは異常基準を選択できます。[ビューを追加]から複数のビューを追加することもできます。
    • プレーンベースの異常検出では、選択したレポートで特定された脅威(失敗イベントやエラーイベント)のみが検出されます。プレーンベースの異常検出を選択した場合、機械学習を用いた異常検出は行われません。
      reordering-categories.png
  9. 異常をユーザー定義のカスタムレポートカスタムグループに分類する場合は、[報告]を有効化します。
  10. [レポート名]を入力します。
  11. レポートを含める[カスタムグループ]を選択します。新しいカスタムグループを作成することもできます。
  12. ダッシュボードで統計モデリングの結果を表示する場合は、[リスクスコアリング]を有効化します。
    • リスクスコアリングを有効化した場合、異常パラメータで選択したビュー(カード)の詳細を入力する必要があります。
    • カード名を入力します。
    • カード情報の場所を選択します。異常データのサマリー、内部脅威、データ流出、感染したアカウント、ログオン異常から場所を選択できます。
    • 各ビューに対して、リスクスコアの計算に使用する重さ(Weight)と減衰係数(Decay Factor)を設定することもできます。
  13. [保存]をクリックして、新しいカスタムモデルを保存します。
    ueba-report-settings.png

注記こちらのページ内の動画「アノマリーモデリングのビデオガイド」(英語)も併せてご参照ください。