ビルド4037/4038リリースノート

2022年10月13日 リリース

※アップグレード後のビルドは「4037」、新規インストールした場合はビルド「4038」です。両ビルドにおいて機能差異はありません。

新機能

• アラート機能: 異常および高いリスクスコアを検知した際にリアルタイムでメール通知するアラート機能を実装しました。発生したアラートはエクスポート（CSV/PDF/XLS/HTML）できます。
• グローバル検索: UEBA内の情報（レポート、設定、ヘルプドキュメント、ユーザ、エンティティ）を検索できるグローバル検索を実装しました。
• Elasticsearch（ES）アーカイブ機能: 既に検知された異常データ（圧縮済みのインデックスファイル）の中から期間を指定してアーカイブ可能となりました。
• データベースへのクエリ: runQuery.doを実行することで、UEBAがバンドルするデータベースへのクエリ実行が可能となりました。
• ManageEngine PAM360と連携することで、特権アクセスに関する異常検知が可能となりました。（※PAM360は日本で未サポートの製品です。）
• 異常値のグラフ化: 異常値をすべてグラフで確認可能となりました。観測値が期待値とどの程度離れているか確認できます。
• セキュリティリスクが少ないと判断した特定のユーザーおよびエンティティを、ダッシュボードに表示しないよう設定できるようになりました。.
• 新しい脅威のカテゴリーである「ログオン異常」について、異常の詳細およびリスクスコアを提供しました。
• ユーザーのピアグルーピング: 過去の行動に基づき、ユーザーを特定のピアグループに分類することで、UEBAがより正確なセキュリティ状況の提供が可能となり、誤検知の減少に繋がります。ユーザーは過去の行動に基づき、特定のピアグループに分類されます。ユーザーは複数のピアグループに所属することもあります。ピアグループは、異常の信頼度を計算する際に考慮され、リスクスコアに影響を与えます。※本機能を有効にするためには、[設定]タブ→[構成]→[リスクスコアのカスタマイズ]→画面右上の[動的ピアグループ分析]を有効後、[更新]をクリックしてください。
• 異常モデルのカスタマイズ: コンポーネント製品（ADAudit Plus、EventLog Analyzer）のレポートに基づき、カスタム異常モデルの作成が可能となりました。カスタマイズした異常モデルは、Log360 UEBA内のカスタムレポートとして利用できます（作成手順はこちらの動画を参照）。
• コンテクスチュアル（contextual）リスクスコアリング: 指定された時間範囲の平均およびピークリスクスコアと合わせて、コンテクスチュアルリスクスコアを提供します。コンテクスチュアルリスクスコアは、指定された時間範囲以降に発生した異常も考慮して計算されたスコアです。※本機能を有効にするためには、[設定]タブ→[構成]→[リスクスコアのカスタマイズ]→画面下の[コンテキストリスクスコアリングを有効にする]を有効後、[更新]をクリックしてください。
• Active Directoryのグループを一度に選択し、グループ内のすべてのユーザーをウォッチリストに追加できるようになりました。
• Active Directoryのグループを一度に選択し、グループ内のすべてのユーザーをウォッチリストに追加できるようになりました。
• Active Directoryのグループを一度に選択し、グループ内のすべてのユーザーを製品内ユーザー（技術者）に追加できるようになりました。
• アラートプロファイルの対象としてActive Directoryのグループを選択できるようになりました。グループを選択することで、グループ内のすべてのユーザーがアラート対象となります。
• 2要素認証: UEBAへのログインに2要素認証を設定できるようになりました。2要素認証として、Eメール認証、Google Authenticator、RSA SecurID、Duo Security、およびRADIUS認証を使用できます。
• データマスキング: 製品内ユーザー（技術者）に対して、監査対象ユーザーおよびエンティティのアイデンティティ情報をマスクできるようになりました。本設定を実施することで、ネットワーク内のユーザーおよびエンティティのプライバシーを維持できます。ユーザー名、ホスト名、IPアドレスなどをマスクできます。※マスクされたデータはランダムコードとして表示されます。
• 製品の管理者ユーザーは、マスクしたデータに対して、オリジナルアイデンティティ（ID）情報を付与できます。
• ユーザーとエンティティのマッピング: ユーザーは関連度（使用頻度）が高いエンティティにマッピングされます。本機能により、ユーザーが使用することが想定されていないエンティティにマッピングされていないか容易に確認できます。
• ユーザーおよびエンティティプロファイルへのリンク: ウォッチリスト、アラート、およびレポートで表示されるユーザーおよびエンティティから、ユーザーおよびエンティティプロファイルへのリンクが提供されるようになりました。本機能により、効率的に調査を実施できます。
• サーバー診断およびディスク空き容量分析: メモリやディスク空き容量など、UEBAが起動しているサーバーの詳細を確認可能となりました。

拡張機能

• レポート管理機能を実装しました。本機能により、カテゴリ、グループおよびレポートの管理が容易となりました。
• レポートをXLSおよびHTML形式でエクスポート可能となりました。
• 重要度（Severity）を条件としたログフィルター設定が可能となりました。
• UEBAのトレーニング期間中（UEBAインストール後の1週間）、ダッシュボードにて監査対象ネットワーク活動に関してより多くの情報を提供できるようになりました。
• Active DirectoryのThumbNailPhoto属性に保存されたユーザーの写真をリスクスコアとともに表示可能となりました。Active Directoryと同期することにより、写真が利用可能になります。
• 製品UIの設定タブより、UEBAおよびUEBAがバンドルするElasticsearchに割り当てるJavaヒープメモリの設定が可能となりました。
• Apache Strutsの依存関係を削除したことで、Apache Strutsに起因する脆弱性を修正しました。
• 異常イベントを分析する際、1つのイベント毎ではなく、複数イベントをまとめて分析するよう仕様を変更しました。本変更により、パフォーマンスの向上に繋がります。
• HTML/XLS/PDF形式でエクスポートする異常レポートのデザインを刷新しました。
• アップグレードする際、PPMおよびDLLへの署名確認を実施するよう仕様を変更しました。
• ダッシュボードより、任意のユーザーまたはエンティティに関するメモを追加または更新できるようになりました。
• UEBAへのHTTPS接続を有効にしていない場合、HTTPS接続を有効にするよう通知します。
• デフォルト管理者（admin）のパスワードをデフォルトから変更していない場合、変更するよう通知します。
• 30日以上前に発生したカウント異常の詳細は、その他の異常（時間・パターンの異常）の詳細と同様、アーカイブするよう仕様を変更しました。ディスク消費の削減に繋がります。
• ダッシュボードにて頻繁に表示される情報をキャッシュすることにより、ダッシュボードの読み込み速度が向上しました。
• カウントに基づいた異常アクティビティに関する情報を、Elasticsearchからではなく、Log360コンポーネント製品（ADAudit PlusまたはEventLog Analyzer）から直接取得するよう、仕様を変更しました。仕様変更により、ダンプ時間の短縮および消費ディスク容量の削減に繋がります。
• 例外エラーが発生した際に通知の受信が可能となりました。
• パターンに基づいた異常を表示する際、パターンを2つのチェーンに分割して表示するようになりました（パターンの分析が完了するまでに2分以上かかる場合のみ分割して表示します）。ファイルサイズの縮小とパフォーマンス速度の向上に繋がります。

不具合修正

• Log4jのバージョン2.17.0（メッセージルックアップパターンのサポートを削除/JNDI機能を無効）を使用することで、Apache Log4jの脆弱性（CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105/ CVE-2021-44832）を修正

ビルド4017リリースノート

2020年06月19日 リリース

新機能

• リスクスコアのカスタマイズ : 通常のユーザー活動のベースラインからの逸脱の度合いや組織の要件に合わせてリスクスコアのカスタマイズが可能となりました。

拡張機能

• レポートページの機能拡張：レポートタブにてドロップダウン形式でデバイスを選択可能となりました。また、いくつかの新規のレポートを追加しました。

不具合修正

• 認証されていないユーザーが、統合システム設定を変更できる脆弱性を修正