ネット管理者

UEBA (ユーザーおよびエンティティ行動分析) とは何ですか?

ウエバとは



ネットワークを安全に保つ方法はたくさんあります。通常、最良の方法には、悪意のあるコードと戦う、または外部からの不正アクセスの試みを監視するソフトウェア ソリューションが含まれます。しかし、軽視されたり無視されたりすることが多い側面の 1 つは、からの攻撃です。内でネットワーク - ファイアウォールの内側のユーザーによる

この種の攻撃は、UEBA ツールを使用して抑制できます。



さて、ウエバとは何でしょうか?

ユーザーおよびエンティティの行動分析 (UEBA)サイバーセキュリティプロセスです。以下が含まれます:

  • 通常の使用状況と行動のデータを監視していますユーザーとエンティティの。
  • ベースラインの設定このデータを使用して。
  • 現在のアクティビティをリアルタイムで追跡し、逸脱を特定しますベースラインから。

これらの逸脱は分析されて、ユーザーまたはエンティティによる悪意のあるアクティビティの兆候が検出されます。



UEBA はネットワーク イベントを活用します– 通常、ログおよび監査証跡として保存される大規模なデータセット – ネットワーク上のユーザーおよびデバイスの典型的および非典型的な動作をモデル化します。

プロセスで使用されるのは、機械学習アルゴリズム統計、 そして脅威のシグネチャの分析過去のデータについて。次に、ユーザーの現在の日常のアクティビティと比較し、「通常の」または「実際の可能性がある」として分類します。脅威”。

例として、ユーザーが通常毎日 15 MB のデータをダウンロードすると仮定します。突然ギガバイトのデータのダウンロードを開始した場合、それは標準を逸脱しており、注意が必要な逸脱として分類されます。

この方法を使用して検出できるアクティビティには次のものがあります。侵害された資格情報横方向の動き、およびその他の悪意のある活動。

ここで理解すべき重要な点は、UEBA はセキュリティ イベントを追跡したりデバイスを監視したりしません。その代わり、ネットワークに焦点を当てています活動ビジネスを行う際のユーザーとデバイスの数。したがって、次のように言えます。これは、資格情報が盗まれたり、意図的に不正行為をした内部関係者 (通常は従業員) を監視するツールです。さらに、すでにアクセス権を持っているアカウント所有者を停止するために使用されます。標的型攻撃の実行や詐欺行為の試みから、ネットワークとそれに接続されている資産への影響を防ぎます。最後に、アプリケーション、デバイス、サーバーも追跡します。これらの悪意のあるユーザーが悪用しないようにするためです。

UBAとUEBAの違い

UEBA が登場する前は、UBA – ユーザー行動分析。このプロセスは人間の側面のみに焦点を当てていました。ユーザーを追跡するだけで、それ以外は何も追跡しませんでした。

今、UEBA はエンティティを含めるように UBA を拡張しますルーター、エンドポイント、サーバーなど。これにより、より堅牢なセキュリティ ツールが作成されました。ユーザー、デバイス、および IP アドレスの入力を関連付けることにより、複雑な攻撃を検出します

この拡張機能は、脅威が発生した場合に、管理者が脅威のソースを正確に特定するのに役立つだけでなく、エンティティを情報源としても使用できることが認識されたときに必要になりました。

これは、現在「」と呼ばれるものを構成するあらゆる種類の接続デバイスが台頭している今日、さらに重要になっています。モノのインターネット' またはIoT。これらのデバイスの数が増加するにつれて、潜在的な攻撃の侵入ポイントの数も増加します。

UEBAはどのように機能しますか?

UEBA プロセスには、ネットワーク アクティビティを特定のユーザーに接続することが含まれますハードウェアやその IP アドレスの代わりに。

データ ソースは通常、ログや監査証跡などの一般的なデータ リポジトリであり、次の場所に保存されます。 データレイクまたはデータウェアハウス 。ソース データは、セキュリティ情報およびイベント管理 ( シェムリアップ )ツール。

注記: UEBA は、通常 SIEM ツールによってキャプチャされるログ、パケット キャプチャ、および同様の組織間のデータセット内の情報を統合します。 UEBA と SIEM が一緒に実装されることが多いのはこのためです。

人間やエンティティの行動を監視するこの独自のアプローチは、従来の境界監視ツールではフラグを立てるどころか、気付かない可能性のある異常な活動を明確に示します。さらに、わずかな逸脱でも脅威アラートをトリガーするように設定できるため、管理者はそれが本当に脅威の初期兆候であるかどうかを判断できます。

分析に使用されるデータには次のような情報が含まれます。

  • ユーザーがどこからログインするか
  • 定期的に使用するファイル、アプリケーション、サーバー
  • 割り当てられている役割と権限
  • アクセスの場所、頻度、時間
  • アクセスに使用される接続または IoT デバイス

UEBA はこれらの入力を使用して、非マルウェア ベースの攻撃を特定し、脅威レベルを評価し、リスク スコアを作成し、管理者に通知する必要があるかどうかを決定します。このツールは、適切な対応に向けてユーザーを導くのにも役立ちます。

UEBA はこのデータを使用して、たとえば、被害者のアクティビティを正確にエミュレートできないためにユーザーのアカウントにアクセスした犯人を捕まえることができます。

UEBAの範囲は何ですか?あるいは、何を守ることができるのでしょうか?

とは別に組織のネットワーク内からの攻撃UEBA は、動的にプロビジョニングされる、またはリモートでアクセスされるクラウド資産を監視することもできます。– これは、主にローカル ネットワーク内でオンプレミスに実装されている場合、従来のセキュリティ ツールを使用して行うのは困難です。

UEBA はどのような属性を調べますか?

優れた UEBA ツールは、いくつかの属性を監視する疑わしいアクティビティを迅速かつ正確に発見し、警告できるようにします。さらに、機能を組み合わせることで、複数の人間の特性をカバーする、より包括的なベースラインが可能になります。そうすれば騙されにくくなります。

監視すべき重要な属性には次のようなものがあります。

  • コミュニケーションこれには、電子メール、チャット、および VoIP データを追跡して、ユーザーがやり取りしている人々を追跡することが含まれます。
  • システム– デジタル フットプリントと接続時の動作は、エンドポイント、ブラウザ、共有ファイル、ログイン習慣から抽出できる貴重な情報源です。このデータは SIEM から削除することもできます。
  • 人事– すべての不審なアクティビティの背後にある動機と、それが悪意のある試みである可能性がある理由は、人事担当者のパフォーマンス レビューと Active Directory (AD) から抽出できます。
  • 物理的な 位置データ– 敷地内の物理的な動きを追跡すると、貴重な情報が得られます。これは、バッジ データ、ログイン場所、旅行履歴を監視することで抽出できます。

ご覧のとおり、これらすべてのデータセットを統合すると、ユーザー、そのアクティビティ、および該当する場合は悪意のある意図について明確な画像を描くことができます。

ベースラインはどのように構築されるのでしょうか?

ここで考慮する必要がある質問の 1 つは、ユーザーを追跡するのに役立つベースラインを構築する方法です。さて、いくつかの手順を実行する必要があります。

  • ユースケースの定義– 何が追跡されるのかを最初から明確にする必要があります。例としては、悪意のあるユーザー、侵害されたアカウント、既知のセキュリティ脅威、またはそれらすべての組み合わせの発見などが挙げられます。
  • データソースの定義– ここで、各ユーザーの行動プロファイルを構築するためにデータの出所が決定されます。ソースの例には、ログ、電子メール、ソーシャル メディア プラットフォーム、人事レビュー レポート、ネットワーク データ パケット フロー、SIEM などがあります。
  • 監視する動作の定義– UEBA ソリューションは、できるだけ多くの属性をカバーする必要があります。この時点で詳細が説明されます。これらには、勤務時間、タイピング速度、企業アプリケーションとアクセスしたデータ、訪問した Web サイト、マウスの動き、従業員の仕事の満足度に関する人事情報などの非 IT データが含まれます。
  • ベースライン確立時間の定義– 従業員は通常、毎日同じように行動しますが、給与計算日、予算締めの週、インフルエンザの季節などの外部要因により、勤務日の習慣が変化する可能性があります。基本スケジュールを計画する際には、これらの要因を考慮し、回避する必要があります。データ収集には 1 週間から 90 日かかる場合があり、その間に UEBA はユーザーについて「学習」し、ベースラインを確立します。管理者は、ベースラインが本当に適切であることを確認するのに十分な時間を確保する必要もあります。
  • ポリシーの定義とトレーニングの提供– UEBA ソリューションの準備が整ったら、セキュリティ ポリシーを実装し、ユーザーにそれを知らせる必要があります。必要に応じて、自分たちだけが知ることを許可されている情報にアクセスする方法とアクセス方法を全員が確実に理解できるようにトレーニングを提供する必要があります。最後に、人事、法務部門、管理者、セキュリティ チーム、ユーザー自身など、全員を参加させる必要があります。
  • 試用期間– どのシステムも実稼働環境に導入する前に試用期間を経る必要があります。 UEBAも同様です。試用期間中に、バグや矛盾を観察して修正することができます。
  • 稼働開始とモニタリング– UEBA が稼動したら、すべてのシステムが期待どおりに動作することを確認するために綿密な監視が必要です。最初の数か月間は微調整や修正が必要になる場合があります。全体として、ベースラインは、新しいスケジュール、セキュリティ システムのアップグレード、従業員の異動など、組織に導入された新しい属性に対応するように調整する必要があります。

UEBAの3つの柱

これまでに見てきた情報に基づいて、UEBA の 3 つの柱を定義できます。これらの柱は次のように定めていますUEBAは何をするのかどのようにそれが行われるか、 そして結果

したがって、Gartner によれば、UEBA ソリューションは次の 3 つの側面にわたって定義されています。

  • ユースケース– UEBA ソリューションは、企業ネットワーク上のユーザーおよびエンティティによる悪意のあるアクティビティを監視、検出、報告します。また、信頼できるホストの監視、不正行為の検出、従業員の監視などの分析にも関連性を維持する必要があります。
  • データソース– データを収集できるようにするために、UEBA ソリューションをネットワーク上に直接展開したり、IT 環境に展開したりすることはできません。代わりに、データ レイク、データ ウェアハウスなどのデータ リポジトリから、または SIEM を通じてデータを抽出する必要があります。
  • 分析– UEBA ソリューションは、機械学習、ルール、統計モデル、脅威シグネチャなどを含むさまざまな分析アプローチを使用して異常を検出する必要があります。

UEBAの利点は何ですか?

UEBA ソリューションで何ができるかを定義して確認したので、それがもたらす利点を見てみましょう。

  • これは主に、多くの内部関係者によるサイバー攻撃を阻止するのに役立つツールです。侵害されたアカウント、ブルートフォース攻撃、新しいアカウントの不正作成、データ侵害など。
  • これは、ほとんどの組織が通常無視する範囲をカバーしており、ウイルス対策やマルウェア対策ソリューションなどの従来のツールでは追跡できない、つまり内部関係者の脅威です。
  • UEBA の導入によりセキュリティ アナリストの数が削減される企業ネットワークを安全に保つ必要がある人。これらのソリューションは自動で、24 時間稼働し、リアルタイムでアラートを送信します。
  • UEBA ソリューションは予算とオーバーヘッドを削減できます組織のサイバーセキュリティを維持するために必要です。
  • 管理者が膨大な量のアクティビティ データを手動で選別する必要があることによって引き起こされる人的エラーを回避できます;脅威の分析と軽減は数分でリアルタイムかつ正確に実行できます。
  • UEBA は、複数のシステムとデータ ソースの採​​用を伴う独自のセキュリティ アプローチです。事前定義された相関ルールまたは攻撃パターンの追跡に準拠していない。AIは常に学習しています

UEBA を使用することにデメリットはありますか?

UEBA を導入することにデメリットがないと言うのは不公平です。そして、ここにそれらがあります:

  • UEBA はより複雑なデータを生成します平均的な従来のセキュリティ ソリューションよりも優れています。したがって、訓練を受けた専門家が必要ですシステムを実装、実行、監視します。分析には、偽陽性の結果によって結論を急ぐことを避けるための、学んだ目も必要です。
  • セキュリティシステムですが、システムを単独で完全に保護するだけでは十分ではありません。覚えて、人間とエンティティの行動のみを追跡しますそれ以上は何もありません。一部の組織は、特に追加のセキュリティ ソフトウェアの必要性を考慮している場合、これを欠点と見なすかもしれませんが、そうではありません。これは攻撃を阻止することを目的としたものではなく、悪意のある内部ユーザーに警告するだけです。

UEBA実装のベストプラクティス

UEBA の実装を成功させるために考慮すべき点がいくつかあります。

  • ネットワーク内とネットワーク外の両方からの脅威を常に考慮する– すべてのポリシー、ルール、ベースラインは、どこにいてもユーザーを考慮する必要があります。
  • すべてのアカウントを考慮する必要があります– 覚えておいてください、ハッカーはいつでも自分の権限をアップグレードしてアクセス能力を高めることができます。
  • UEBA は適切なセキュリティ チーム メンバーに送信される必要があります。– たとえば、ユーザー自身やその他の権限のない担当者に返さないでください。
  • 上で見てきたように、UEBA の範囲は限られています– 管理者は、他の従来のセキュリティ ツールから目を離すべきではありません。
  • すべてのユーザーをトレーニングする誤検知や意図しないアラートのトリガーを最小限に抑えます。
  • また、警備スタッフを訓練する誤った結論に飛びつかないように分析を正しく読むこと。

ウエバは必需品です

結論として、知的財産の盗難、技術漏洩、ハッキング、データ侵害がすべて内部から行われている今日の世界では、UEBA ソリューションの採用が必須であると言わざるを得ません。ユーザーこそが主役であると常に言われてきました。 最も弱いリンク サイバーセキュリティにおいて。その情報と悪意を持った従業員を組み合わせると、なぜこのような種類のソリューションが必要なのかが簡単にわかります。

したがって、UEBA ソリューションを利用して企業データを安全に保つことは理にかなっています。何をするかあなた考える?我々に教えてください;コメントを残してください。

^