Log360 ナレッジベース

Log360UEBA 4.0 リリースノート


ビルド4069リリースノート

2024年11月19日 リリース

拡張機能

  • Log360 UEBAで確認された脆弱なJARファイルをアップグレードし、セキュリティを強化しました。

不具合修正

  • Webブラウザーで使用されるイベントリスナー(非推奨)の代わりに、イベントオブザーバーをサポートしました。これにより、正確なレポートグラフが生成されます。
  • PostgreSQLのバージョン10.21のサポート終了に関連する脆弱性に対応するため、PostgreSQLのバージョンを10.21から14.12にアップグレードしました。

 


ビルド4066リリースノート

2024年09月12日 リリース

重要事項

  • SSL設定を有効化しているUEBAをビルド4066(グローバルリリースビルド4055)以上にアップグレードする場合、アップグレード完了後、UEBAサービスを起動する前に以下の手順を実施してください。
    1. <Log360 UEBAインストールフォルダー>\confフォルダーに移動します。
    2. system_properties.confファイルを開き、最終行にパラメーター「product.keystorepass.encrypt=true」を追記します。
    3. ファイルを保存します。
    4. UEBAサービスを起動します。

新機能

  • インシデントワークベンチ機能のサポート:EventLog Analyzerのインシデントワークベンチ機能をサポートするため、Log360 UEBAに新しいAPIを導入しました。EventLog Analyzer内で異常なユーザーアクションを追跡し、ユーザーのリスクスコアを表示できます。
  • リアルタイム異常検知:EventLog Analyzerレポートに対してリアルタイム異常検知を設定できるようになりました。
  • アラートのスマートしきい値:アラートプロファイルを作成する際に設定するしきい値において、スマートしきい値を選択可能となりました。スマートしきい値では機械学習アルゴリズムを使用して自動的にしきい値を決定します。機械学習アルゴリズムが常に異常動作を観察してしきい値を更新するため、誤検知を減らせます。
  • スケジュールレポートおよびアラートプロファイルの通知テンプレート:スケジュールレポートおよびアラートプロファイルで使用する通知テンプレートを作成できます。通知テンプレートを作成することで、メッセージ内容および通知の受信者リストを設定できます。
  • Log360 UEBAへのログオンする際に設定できる二要素認証にてSMS認証に対応しました。
  • メールサーバー設定にてOAuthおよびAPIを使用した認証に対応しました。
  • ユーザーアイデンティティマッピング:ネットワーク内の複数ドメインにまたがるユーザーIDをリンクするためのマッピング設定を作成・管理できます。本機能によって、UEBAは複数のドメインにまたがる一人のユーザーの活動を把握し、該当ユーザーの活動を相関させて異常を特定できます。
  • Static(静的)ピアグループを設定できます。Active Directory環境でユーザーに設定された属性に基づいてユーザーをグループ化できます。Log360 UEBAで用意された7つのデフォルト属性の中から少なくとも1つを設定することで、Static(静的)ピアグループを設定できます。
  • チケット起票ツールを設定できます。Log360 UEBA内でアラートが発生した際、Log360 UEBAの技術者に割り当てる以外に、設定したチケット起票ツールにチケットを自動的に起票できます。対応するチケット起票ツールは以下のとおりです。
    • ManageEngine AlarmsOne(日本法人未リリース)
    • Jira Service Desk
    • ServiceNow
    • Kayako
    • Zendesk
  • 主要なセキュリティに関する修正またはアップグレードに関する情報をユーザーに通知する機能を導入しました。

拡張機能

  • AWSのイベントデータを統合しているEventLog AnalyzerからAWSレポートのイベントデータを取得可能となりました。

不具合修正

  • ActiveMqのセキュリティ脆弱性(CVE-2023-46604)を修正しました。ActiveMqのバージョンを更新してJMX認証対策を強化しました。
  • EventLog Analyzerからカスタムレポートを追加する際の不具合を修正
  • SSRF(サーバーサイドリクエストフォージェリ)を引き起こす脆弱性を修正
  • 製品内で使用するApache Tomcatのバージョンをアップグレードすることで、脆弱性(CVE-2024-21733)を回避しました。
  • アップグレード(サービスパックの適用時)に使用する公開鍵証明書を更新しました。
  • 製品内で使用するJSONライブラリを最新バージョン(json-20231013)にアップグレードすることで、潜在的な脆弱性(CVE-2023-5072)を回避しました。
  • 二要素認証をバイパスする脆弱性(CVE-2023-35785)を修正

 


ビルド4037/4038リリースノート

2022年10月13日 リリース

※アップグレード後のビルドは「4037」、新規インストールした場合はビルド「4038」です。両ビルドにおいて機能差異はありません。

新機能

  • アラート機能: 異常および高いリスクスコアを検知した際にリアルタイムでメール通知するアラート機能を実装しました。発生したアラートはエクスポート(CSV/PDF/XLS/HTML)できます。
  • グローバル検索: UEBA内の情報(レポート、設定、ヘルプドキュメント、ユーザ、エンティティ)を検索できるグローバル検索を実装しました。
  • Elasticsearch(ES)アーカイブ機能: 既に検知された異常データ(圧縮済みのインデックスファイル)の中から期間を指定してアーカイブ可能となりました。
  • データベースへのクエリ: runQuery.doを実行することで、UEBAがバンドルするデータベースへのクエリ実行が可能となりました。
  • ManageEngine PAM360と連携することで、特権アクセスに関する異常検知が可能となりました。(※PAM360は日本で未サポートの製品です。)
  • 異常値のグラフ化: 異常値をすべてグラフで確認可能となりました。観測値が期待値とどの程度離れているか確認できます。
  • セキュリティリスクが少ないと判断した特定のユーザーおよびエンティティを、ダッシュボードに表示しないよう設定できるようになりました。.
  • 新しい脅威のカテゴリーである「ログオン異常」について、異常の詳細およびリスクスコアを提供しました。
  • ユーザーのピアグルーピング: 過去の行動に基づき、ユーザーを特定のピアグループに分類することで、UEBAがより正確なセキュリティ状況の提供が可能となり、誤検知の減少に繋がります。ユーザーは過去の行動に基づき、特定のピアグループに分類されます。ユーザーは複数のピアグループに所属することもあります。ピアグループは、異常の信頼度を計算する際に考慮され、リスクスコアに影響を与えます。※本機能を有効にするためには、[設定]タブ→[構成]→[リスクスコアのカスタマイズ]→画面右上の[動的ピアグループ分析]を有効後、[更新]をクリックしてください。
  • 異常モデルのカスタマイズ: コンポーネント製品(ADAudit Plus、EventLog Analyzer)のレポートに基づき、カスタム異常モデルの作成が可能となりました。カスタマイズした異常モデルは、Log360 UEBA内のカスタムレポートとして利用できます(作成手順はこちらの動画を参照)。
  • コンテクスチュアル(contextual)リスクスコアリング: 指定された時間範囲の平均およびピークリスクスコアと合わせて、コンテクスチュアルリスクスコアを提供します。コンテクスチュアルリスクスコアは、指定された時間範囲以降に発生した異常も考慮して計算されたスコアです。※本機能を有効にするためには、[設定]タブ→[構成]→[リスクスコアのカスタマイズ]→画面下の[コンテキストリスクスコアリングを有効にする]を有効後、[更新]をクリックしてください。
  • Active Directoryのグループを一度に選択し、グループ内のすべてのユーザーをウォッチリストに追加できるようになりました。
  • Active Directoryのグループを一度に選択し、グループ内のすべてのユーザーをウォッチリストに追加できるようになりました。
  • Active Directoryのグループを一度に選択し、グループ内のすべてのユーザーを製品内ユーザー(技術者)に追加できるようになりました。
  • アラートプロファイルの対象としてActive Directoryのグループを選択できるようになりました。グループを選択することで、グループ内のすべてのユーザーがアラート対象となります。
  • 2要素認証: UEBAへのログインに2要素認証を設定できるようになりました。2要素認証として、Eメール認証、Google Authenticator、RSA SecurID、Duo Security、およびRADIUS認証を使用できます。
  • データマスキング: 製品内ユーザー(技術者)に対して、監査対象ユーザーおよびエンティティのアイデンティティ情報をマスクできるようになりました。本設定を実施することで、ネットワーク内のユーザーおよびエンティティのプライバシーを維持できます。ユーザー名、ホスト名、IPアドレスなどをマスクできます。※マスクされたデータはランダムコードとして表示されます。
  • 製品の管理者ユーザーは、マスクしたデータに対して、オリジナルアイデンティティ(ID)情報を付与できます。
  • ユーザーとエンティティのマッピング: ユーザーは関連度(使用頻度)が高いエンティティにマッピングされます。本機能により、ユーザーが使用することが想定されていないエンティティにマッピングされていないか容易に確認できます。
  • ユーザーおよびエンティティプロファイルへのリンク: ウォッチリスト、アラート、およびレポートで表示されるユーザーおよびエンティティから、ユーザーおよびエンティティプロファイルへのリンクが提供されるようになりました。本機能により、効率的に調査を実施できます。
  • サーバー診断およびディスク空き容量分析: メモリやディスク空き容量など、UEBAが起動しているサーバーの詳細を確認可能となりました。

拡張機能

  • レポート管理機能を実装しました。本機能により、カテゴリ、グループおよびレポートの管理が容易となりました。
  • レポートをXLSおよびHTML形式でエクスポート可能となりました。
  • 重要度(Severity)を条件としたログフィルター設定が可能となりました。
  • UEBAのトレーニング期間中(UEBAインストール後の1週間)、ダッシュボードにて監査対象ネットワーク活動に関してより多くの情報を提供できるようになりました。
  • Active DirectoryのThumbNailPhoto属性に保存されたユーザーの写真をリスクスコアとともに表示可能となりました。Active Directoryと同期することにより、写真が利用可能になります。
  • 製品UIの設定タブより、UEBAおよびUEBAがバンドルするElasticsearchに割り当てるJavaヒープメモリの設定が可能となりました。
  • Apache Strutsの依存関係を削除したことで、Apache Strutsに起因する脆弱性を修正しました。
  • 異常イベントを分析する際、1つのイベント毎ではなく、複数イベントをまとめて分析するよう仕様を変更しました。本変更により、パフォーマンスの向上に繋がります。
  • HTML/XLS/PDF形式でエクスポートする異常レポートのデザインを刷新しました。
  • アップグレードする際、PPMおよびDLLへの署名確認を実施するよう仕様を変更しました。
  • ダッシュボードより、任意のユーザーまたはエンティティに関するメモを追加または更新できるようになりました。
  • UEBAへのHTTPS接続を有効にしていない場合、HTTPS接続を有効にするよう通知します。
  • デフォルト管理者(admin)のパスワードをデフォルトから変更していない場合、変更するよう通知します。
  • 30日以上前に発生したカウント異常の詳細は、その他の異常(時間・パターンの異常)の詳細と同様、アーカイブするよう仕様を変更しました。ディスク消費の削減に繋がります。
  • ダッシュボードにて頻繁に表示される情報をキャッシュすることにより、ダッシュボードの読み込み速度が向上しました。
  • カウントに基づいた異常アクティビティに関する情報を、Elasticsearchからではなく、Log360コンポーネント製品(ADAudit PlusまたはEventLog Analyzer)から直接取得するよう、仕様を変更しました。仕様変更により、ダンプ時間の短縮および消費ディスク容量の削減に繋がります。
  • 例外エラーが発生した際に通知の受信が可能となりました。
  • パターンに基づいた異常を表示する際、パターンを2つのチェーンに分割して表示するようになりました(パターンの分析が完了するまでに2分以上かかる場合のみ分割して表示します)。ファイルサイズの縮小とパフォーマンス速度の向上に繋がります。

不具合修正

  • Log4jのバージョン2.17.0(メッセージルックアップパターンのサポートを削除/JNDI機能を無効)を使用することで、Apache Log4jの脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105/ CVE-2021-44832)を修正

 


 

ビルド4017リリースノート

2020年06月19日 リリース

新機能

  • リスクスコアのカスタマイズ : 通常のユーザー活動のベースラインからの逸脱の度合いや組織の要件に合わせてリスクスコアのカスタマイズが可能となりました。

拡張機能

  • レポートページの機能拡張:レポートタブにてドロップダウン形式でデバイスを選択可能となりました。また、いくつかの新規のレポートを追加しました。

不具合修正

  • 認証されていないユーザーが、統合システム設定を変更できる脆弱性を修正