ユーザーとエンティティの振る舞い分析(UEBA)とは
ユーザーとエンティティの振る舞い分析(UEBA)、またはユーザーの振る舞い分析(UBA)は、サイバーセキュリティ ソリューションまたは機能の一種であり、通常の基準から逸脱するアクティビティを特定することによって脅威を発見します。UEBAはさまざまな理由で使用できますが、最も一般的な用途は、コンピュータ ネットワークやエンドポイントでの異常なトラフィック パターン、不正なデータ アクセスとデータ移動、疑わしいアクティビティや悪意のあるアクティビティの監視および検出です。
企業にUEBAが必要な理由
多くのセキュリティ運用では、セキュリティ情報イベント管理(SIEM)プラットフォームを使用して、セキュリティ脅威の可能性を検出し、特定しています。SIEMはイベント ログおよびセキュリティ アラートを集約しますが、マルウェアが関連しない未知または高度なセキュリティ脅威(認証情報の窃取など)や、すでにネットワークに侵入している内部および外部の攻撃者の検出は得意ではありません。
このギャップを埋めるために、サイバーセキュリティ分析ツールの2つ主要なカテゴリが登場しました。
- ユーザーとエンティティの振る舞い分析(UEBA)
- ネットワーク トラフィック分析(NTA) (ネットワーク ディテクション&レスポンス(NDR)とも呼ばれる)
UEBAとNTAの違い
UEBA ソリューションは一般的に、パッケージ製品として、またはクラウド アクセス セキュリティ ブローカー(CASB)やディテクション&レスポンス プラットフォームなどの従来のセキュリティ製品に組み込まれて提供されます。UEBAは、ネットワーク ユーザー、およびホスト、アプリケーション、データ リポジトリ、ネットワーク トラフィックなどの他のエンティティからのアクティビティを分析します。 また、機械学習をリアルタイムおよび過去のデータに適用して、正常なアクティビティの基準を構築します。
この基準が確立されたら、UEBAソリューションは簡易な統計、パターン マッチング、署名を使用するルールなどの多数の分析方法を適用して、疑わしい、あるいは悪意のあるアクティビティの可能性を示す異常を探します。UEBAソリューションが振る舞い分析を効果的に実行するには、まず機械学習ツール用の堅牢で統合されたデータ セットが必要です。
UEBAシステムは、機械学習および振る舞い分析をユーザー、マシン、エンティティに適用することにより、内部関係者による脅威、マルウェア、および高度な攻撃を検出できます。UEBAシステムはリアルタイムで異常なアクティビティを見つけるための洞察、および調査についての洞察を提供するため、アナリストはさらなる損害が発生する前に、脅威をすばやく確認して軽減することができます。
NTAソリューションは機械学習、高度な分析、およびルールベースの検出を使用して、企業ネットワーク上のすべてのトラフィックおよびフロー レコードを監視、分析することにより、攻撃の可能性、内部関係者の不正利用、疑わしいアクティビティ、およびマルウェアを特定します。これには、企業境界を通過するすべてのNorth-Southトラフィック、およびネットワーク センサーからのすべてのEast-West通信の監視と分析が含まれます。
UEBAとNTAの利点と欠点 |
|
UEBA |
|
利点 |
欠点 |
|
|
NTA |
|
利点 |
欠点 |
|
|
UEBAの機能は他のツールとますます統合されているため、SecOpsチームは潜在的なセキュリティ脅威を検出するためのより優れた高度な分析を提供することができます。Gartnerの予測によると、2021年には、スタンドアロンのUEBA市場は存在しなくなります。代わりにUEBAはSIEMやその他のツールを高度な分析機能で最新化するために使用されるようになり、その機能はそれらのプラットフォームに直接組み込まれます。1
XDR: セキュリティへの新たなアプローチ
UEBAの機能は、 XDRと呼ばれる、新しい種類の脅威の検出と対応ツールにも統合されています。XDRの「X」は、ネットワーク、エンドポイント、クラウドなど、あらゆるデータ ソースを意味しています。XDRは、SIEMよりも深いがエンドポイントには限定されない脅威の可視化の必要性の認識から、エンドポイント ディテクション&レスポンス(EDR)ツールの進化版として登場しました。XDRは調査を加速させ、自動化を使用してセキュリティ運用チームの生産性を増幅させます。
XDRは、EDR、UEBA、NTA、次世代アンチウイルスなどのツールのすべての機能を1つのソリューションに統合することで、可能な限り最高のセキュリティを提供します。ネットワーク、クラウド、エンドポイントを含むインフラストラクチャ全体に企業が必要とする包括的な可視性および堅牢な振る舞い分析を提供し、潜在的なセキュリティ脅威を特定、捕捉、調査し、これに対応します。図1に示すように、XDRは多数の機能および利点を企業に提供します。
図1: XDRの機能
XDRの詳細については、こちらをクリックしてください。
業界初の拡張ディテクション&レスポンス プラットフォームであるCortex XDRには、包括的なユーザーの振る舞い分析(UBA)のための ID分析機能が含まれます。ID分析では、従来のツールでは見つけられない、リスクをもたらす悪意のあるユーザーの振る舞いを検出できます。攻撃を示唆する異常な振る舞いを検出することで、認証情報の窃取、ブルートフォース、「ありえない移動」などの攻撃を極めて高精度で特定します。
ID分析は、ユーザーのリスク スコア、関連アラート、インシデント、アーティファクト、最近のアクティビティなど、各ユーザーに関する包括的な情報を提供します。また、WorkdayなどのHRアプリ、SailPointなどのセキュリティ ソリューション、および主要なIDプロバイダからデータを収集することで、ユーザー コンテキストも提供します。すぐに使用できるUBA検出機能は、複数の種類のデータを調べることで、回避型脅威も検出します。
出典
- 「Market Guide for User and Entity Behavior Analytics」、Gartner、2019年5月21日、https://www.cbronline.com/wp-content/uploads/dlm_uploads/2018/07/gartner-market-guide-for-ueba-2018-analyst-report.pdf
リソース
- 解説画像: XDR: 検出と対応の新しいアプローチ
- ホワイト ペーパー: XDRでセキュリティ運用を再定義
- ブログ記事: 検出・レスポンスの選定で着実に投資対効果を得る方法