UEBAとは?

内部/外部からの攻撃を防御する最善策の一つは、UEBA(User and Entity Behavior Analytics:ユーザーおよびエンティティの行動分析)を用いて、ユーザーやデバイスの行動を継続的に監視することです。UEBAは、ユーザーやエンティティの行動を学習し、通常の行動のベースラインを作成します。

ベースラインから逸脱する行動は、「異常」としてフラグが付けられ、問題の調査やリスク軽減に必要な手順を実行するのに役立ちます。機械学習を活用したUEBAソリューションは、経験を積めば積むほど効果的になります。

 

Log360のUEBA機能

Log360のUEBA機能では、ファイアウォール、ルーター、ワークステーション、データベース、ファイルサーバーなど、様々なソースのログを分析します。通常の動作から逸脱する行動を時間、回数、異常パターンに分類します。リスクスコア、異常傾向、直感的なレポートにより、IT管理者に実用的な洞察を提供します。

log360 ueba
1ファイアウォール
 
ファイアウォール

CISCONet ScreenSophosPalo AltoWatch GuardWindows

2ルーター
 
ルーター

CiscoHewlett Pakard

3ワークステーション
 
ワークステーション
クライアントPC

Windows 10Windows 8.1Windows 8Windows 7Windows VistaWindows XP Prof. X64 ed.Windows XP

サーバー

Window Server 2019Window Server 2016Window Server 2012Window Server 2012 R2Window Server 2008Window Server 2008 R2Window Server 2003Window Server 2003 R2

4データベース
 
データベース

OracleSQL ServerMy SQL

5ファイルサーバー
 
ファイルサーバー

Windows Servers

6レポートとチャート
 
レポートとチャート

次のようなレポートへのアクセスが可能です。
ログオンレポートファイル操作レポートログオン失敗レポートファイアウォール変更レポート設定変更レポート

レポート生成に使用されるすべてのデータは、グラフィック形式で表示できます。

7ユーザーとエンティティの
リスクスコア
 
ユーザーとエンティティのリスクスコア

UEBAは、すべてのユーザーおよびエンティティのリスクスコアを保持しています。ユーザー/エンティティの動作がベースラインから逸れるとリスクスコアが上がります。これにより、即座に問題を調査し、セキュリティ侵害を防止することが可能です。

8異常傾向
 
異常傾向

特定の期間における異常の数の変動をグラフィカルに表示します。

UEBAの利点:

リスクスコアの活用で、内部脅威、アカウント侵害、
データ流出を防止します。

リスクスコアは、実際の行動とベースラインとの比較により算出されます。リスクスコアは、事前に定義された行動の重み、ベースラインからの逸脱度、逸脱の頻度、逸脱からの経過時間などの要素により、0(リスクなし)〜100(最大値)で示されます。

総合スコアに加え、内部脅威、アカウントの侵害、データ流出に関するスコアも算出します。リスクスコアを参照することで、優先的に調査すべき脅威の選定が容易となり、潜在的なインシデントの防止に役立ちます。

ユーザーやエンティティのリスクスコアを高める可能性のある行動として、 内部脅威、アカウントの侵害、データ流出が挙げられます。

 

内部脅威の兆候

  • 新規または異常なシステムアクセス
  • 異常なアクセス時間
  • ファイルへの異常なアクセスまたは変更
  • 過度の認証失敗

詳細はこちら

 

アカウント侵害の兆候

  • ユーザーによる異常なソフトウェアの実行
  • ホストにインストールされたソフトウェアの複数のインスタンス
  • ホストでの多数のログオン失敗

詳細はこちら

 

データ流出の兆候

  • 異常なファイルのダウンロード
  • ユーザーによる複数のリムーバブルディスクの作成
  • ユーザーによる異常なコマンドの実行
  • ホストへの異常なログオン

詳細はこちら

製品概要資料ダウンロード

 

Log360 UEBAを使用すると、次のことができます。

  • あらゆるユーザーアカウントのマッピング、ユーザーおよびエンティティの動作に対するベースラインの作成
  • ユーザーのあらゆる動作を相互的に関連付けた、より意味のあるセキュリティコンテキストの取得
  • 動作の時間、回数、パターンに基づいた、ユーザーの異常な動作の特定
  • Windowsデバイス、SQLサーバー、FTPサーバーや、ルーター、ファイアウォール、スイッチなどのネットワーク機器におけるエンティティの異常な動作の特定
  • 内部攻撃、アカウントの侵害、データ流出から生じる脅威の発見
  • スコアベースのリスク評価に基づいた、脅威の優先順位付けおよび、調査すべき脅威の判断の容易化
  • SIEMデータではわからない脅威の文脈および実体の把握
  • 実際の動作やベースラインの詳細など、侵害の兆候に関する実用的なレポートの確認
  • 任意のユーザーまたはエンティティのリスクスコアおよび、特定の動作に対するスコアの確認