ユーザーの振る舞い検知機能(UBA)について
作成日:2018年9月5日 | 更新日:2023年9月21日
[ 対象ビルド ]
ビルド5050
ビルド5050より、ユーザーの振る舞い検知機能(UBA)が追加されました。このナレッジベースでは、本機能の詳細についてご案内します。
ユーザーの振る舞い検知
各ユーザーの平常時の活動を集計し、普段とは異なる活動が発生した際に「異常」として検知します。異常と検知されるしきい値は、日々の集計により常に更新されます。
なお、検知の対象としては、以下の3つが挙げられます。
- 異常なカウント:特定の活動に対するイベントの発生数が、平常時と比べて大きく異なる場合にアラートが発生します。
- 異常な時間:イベントの発生時間が、平常時と比べて大きく異なる場合にアラートが発生します。
- 新しいリソースへのアクセス:新しいリソースのアクセスがあった際にアラートが発生します。
(例:初めてのユーザーからログオンイベントが発生した場合、新しいプロセスが起動した場合など)
振る舞い検知の仕様
以下に、振る舞い検知の仕様についてご案内します。
- ドメインを登録後、7日間データの集計が行われ、通常時の振る舞いを記録したプロフィール情報が作成されます。
- 7日間以降 (プロフィール情報が作成後) は、振る舞い検知機能が毎日午前5時に作動し、異常な活動の発生有無を確認します。
- ppmを適用した (アップグレードを実施した) ビルドの場合は、直近1ヶ月分のイベントが解析対象となり、ビルド5050にアップデートを行った翌日午前5時にプロフィール情報が生成され、異常な活動の発生有無を確認します。
- 「異常なカウント」について
- ビルド6050未満のビルドでは、ユーザーの平常時のカウントが10より少ない場合、あるいはカウントが計上されていない場合は、デフォルトとしてしきい値が「10」と設定されます。
- ビルド6050以上のビルドでは、ユーザーの平常時のカウントが10より少ない場合でも平常時のカウントがしきい値として設定されます。カウントが計上されていない場合は、デフォルトとしてしきい値が「10」と設定されます。
- 「異常な時間」について
- ビルド7202未満のビルドでは、ユーザー/ホストにベースライン(通常時間)が設定されていない場合、当該ユーザー/ホストはアラートの対象外となります。
- ビルド7202以降のビルドでは、ユーザー/ホストにベースラインが設定されていない場合、デフォルトのベースラインとして通常時間が「8:00-21:00」に設定されます。通常時間外のイベントを検知した場合は、アラートが発生します。
振る舞い検知のアラート一覧
< ログオン活動 関係 >
- ログオン失敗イベントの異常な発生数
- ログオンイベントの異常な発生時間
- ユーザーによる初回ログオンイベント
- ホストに対する初回リモート接続
< ユーザー管理活動 関係 >
- ユーザー管理活動の異常な発生数
- ユーザー活動の異常な発生時間
- ロックアウトの異常な発生数
- ロックアウトの異常な発生時間
< プロセス活動 関係 >
- 新規プロセスの起動
< ファイル活動 関係 >
- ファイルに対する失敗アクションの異常な発生数
- ファイル活動の異常な発生数
- ファイル変更の異常な発生数
- ファイル削除の異常な発生数
- ファイルアクセスの異常な発生時間
以上です。