UEBA(ユーザーとエンティティの行動分析)とは何ですか?

ユーザーとエンティティの動作アナリティクス (UEBA) は、ユーザーとエンティティの動作パターンを分析して潜在的な脅威を検出するセキュリティ アプローチです。

主なポイント

• UEBA 追跡する 確立されたベースラインからの現在の動作の微妙な変更により、異常を特定し、疑わしいアクティビティを明らかにします。
• IT 監視 人間のユーザーと、デバイスやアプリケーション (アプリケーション) などの人間以外のエンティティの両方を監視して、包括的なセキュリティカバレッジを提供します。
• UEBAセキュリティは、高度なアナリティクスと機械学習(ML)を使用して、従来のセキュリティツールが見逃す可能性のある脅威を特定します。
• 組織は UEBA を使用して、誤検知を減らし、ネットワーク環境全体で脅威検知を強化しています。

UEBAの基礎

UEBAは、人間のユーザー(従業員、契約社員、顧客)に焦点を当てたユーザー行動アナリティクス(UBA)から拡張され、デジタルエコシステム全体で脅威検知を可能にするエンティティ(デバイス、アプリケーション、ネットワーク)が含まれています。 ガートナーは2015年にこの用語を作り出しました。

従来のセキュリティツールは事前定義されたルールとシグネチャに依存していますが、UEBAはML、統計分析、および行動モデリングを使用して行動ベースラインを確立します。基本的なベースラインでは、セキュリティの脅威を示す可能性のある通常のアクティビティからの逸脱を特定する継続的な監視が可能であるため、人やデバイスが確立された動作から逸脱すると、IT部門にすぐにフラグが立てられます。

リモート ワークフローでは、UEBA ソリューションは、エンドポイント検出と応答 (EDR) およびネットワーク監視ツールと統合することにより、リモート環境 (企業のラップトップ、モバイル コンピューター) で使用されるものを含むエンドポイントからデータを取り込みます。

UEBAは、分散型サービス拒否(DDOS攻撃、総当たり攻撃、インサイダー脅威)など、さまざまなデジタル脅威を検出します。 また、IT部門は、人間のユーザーが誤って認証情報を共有したり、悪意のあるリンクをクリックしたり、感染したソフトウェアをダウンロードしたりした場合に、わずかな行動の違いを検出することで、フィッシング詐欺やソーシャルエンジニアリング詐欺を迅速に軽減することができます。

UEBAは、 NIST(National Institute of Standard and Technology)のサイバーセキュリティフレームワークの「検出」機能と連携し、振る舞い監視を通じてセキュリティ対策を継続的に検証しています。

UEBAの仕組み

UEBAは、データの収集と分析から始めて、生データを実用的なセキュリティインサイトに変換します。UEBA ソリューション IT インフラストラクチャ全体でデータを収集します。 データソースには、認証システムとアイデンティティ管理プラットフォーム、ネットワーク トラフィック フロー、アプリケーション (アプリケーション) とアクセス ログ、エンドポイント アクティビティ、クラウドサービス ログ、E メール メタデータとログが含まれます。

ベースライン・パターン構造

UEBAシステムは、収集したデータを使用して、個人(人間、エンティティ)、ピアグループ(グループ)(職務、機能)、および全体的な組織規範の「正常」パターンを定義する行動ベースラインを指定します。

ベースラインの設定に使用される要因には、アクセス パターン (リソースにいつ、どこで、どのくらいの頻度でアクセスするか)、トランザクションの量と種類、通信パターン、リソースの使用状況 (アプリケーション、データ、システム) が含まれます。

• 異常検出

UEBAは、統計分析、MLアルゴリズム、行動モデリング、およびピアグループ(グループ)分析を活用して、パターンの偏差を継続的に監視しながら、高度なアナリティクスを使用します。

UEBAは、アクセスパターンやログイン時間、データアクセスやデータ流出、予期しない地理的な場所からのログイン、通信パターン、アプリケーション(アプリケーション)の使用、ネットワーク内での横移動など、標準とは異なる変動を検出します。

• リスクスコア

リスクスコアは動的で、コンテキストを認識します。多くの場合、複数の異常を 1 つのリスク イベントに組み合わせて、アラートの疲労を軽減します。

UEBAを使用すると、セキュリティチームは、パターン偏差の重大度、リソースの感度、インシデント履歴、アクティビティコンテキストを測定するコンテキストリスク分析を使用して、脅威に優先順位を付けることができます。

• アラートの生成と対応

UEBAは、SOAR(Security Orchestration, Automation, and Response)プラットフォームと統合して、調査と対応を効率化できます。 重大な異常が検出されると、アラートは詳細なコンテキストとフォレンジック証拠を提供し、自動応答アクションをトリガーできます。

UEBAは、セキュリティに対するより適応性の高いインテリジェンス主導のアプローチに進化することで、組織がセキュリティ態勢を強化するのを支援します。

Common UEBA ユース

Insider 脅威検知: UEBA は、一般的な職務以外でアクセスされるリソース、休眠アカウント アクティブ化、従業員の退職前の行動変更、特権のエスカレーションや乱用など、データ アクセスやデータ流出の試みを通じて、悪意のある内部関係者や漏洩/侵害認証情報を検出できます。

アカウント 漏洩/侵害検出: 攻撃者が有効な認証情報を持っている場合でも、UEBAは漏洩/侵害アカウントを特定できます。 UEBAシステムは、通常とは異なる場所やデバイスからのログイン、異常なアクセス時間や時間、入力パターンやコマンドの使用方法の変更、アプリケーション(アプリケーション)やシステムを介した異常なナビゲーション、およびアカウント所有者が通常使用しないリソースアクセスに対応しています。

Advanced Persistent Threat(APT)検出: UEBAは、ネットワーク内の異常な水平移動、偵察活動、流出前のデータステージング、コマンド&コントロール通信、および永続化メカニズムを特定することにより、APTの検出を支援します。

不正検出: UEBAは、異常な金融取引パターン、疑わしいアカウントの変更、異常な顧客サービスのやり取り、金融システムのポリシー違反、取引行動の変化を検出することにより、不正行為を特定します。

コンプライアンスと監査のサポート: UEBAは、ユーザーとエンティティのアクティビティをマッピングする監査証跡を作成し、規制対象データへのアクセスを文書化し、フォレンジック調査をサポートし、セキュリティ制御の有効性を実証し、規制コンプライアンスを証明します。

UEBAの利点と課題

主な利点

• Enhanced 脅威検知

UEBAは、攻撃のライフサイクル全体を可視化することで、ゼロデイ攻撃、事前定義されたシグネチャやルールのない脅威、時間の経過とともにゆっくりと進行する攻撃など、従来のセキュリティ制御を回避する高度な脅威を検出する能力を向上させます。

• 誤検知の減少

UEBAは、複数の行動シグナルを時間の経過とともに相関させることで誤検知を減らし、孤立した異常ではなくパターンに焦点を当てます。IT部門は、コンテキストリスクスコアリングを適用して、重大な脅威に優先順位を付け、悪意のあるアクティビティと正当だが異常な動作を区別します。

• 調査能力の向上

UEBAは、ユーザーとエンティティのアクティビティの包括的なタイムラインを提供し、複数のシステム間で関連イベントを関連付け、動作の異常をグラフィックで表現することで、セキュリティアナリストに詳細なコンテキストを提供し、より効果的な調査を実現します。

• 変化する環境への適応性

絶え間ない更新が必要なルールベースのシステムとは異なり、UEBAは、行動ベースラインを継続的に改善し、組織の変更や新しいシステムに適応し、ユーザーの役割と機能の更新に対応し、調査結果から学習して将来の検出を改善することで、進化する環境に適応します。

実装の課題

• データの品質と可用性

UEBAの有効性はデータ品質と密接に関連しており、複数のシステムにわたる包括的なロギング、一貫したデータ形式、正確なユーザーとエンティティの識別が必要です。

• ベースライン設定期間

信頼性の高い行動ベースラインを作成するには、正確なデータ収集に数週間から数か月かかる場合があり、季節変動などの要因の影響を受ける可能性があります。

• 専門知識の要件

UEBAの実装と管理には、データ分析、セキュリティ、統合、保守、最適化の訓練を受けた専門家と、UEBAツールのチューニングに関する追加の専門知識が必要です。

• 統合の複雑さ

UEBAを既存のセキュリティインフラストラクチャと統合することは困難な場合があります。IT部門は、新しいデータ収集方法を必要とし、セキュリティ運用ワークフローと整合し、他のツールと統合する必要があるかもしれません。

UEBA 実装 ベストプラクティス

1. 明確な目標を定義します。 特定のセキュリティ課題を特定し、成功基準と測定基準を定義し、実装時間枠に対する現実的な期待値を確立します。
    
2. 組織にまたがるチームを関与させる: セキュリティ、 IT、コンプライアンスの各チーム間で組織にまたがる連携を計画し、シームレスなデータアクセス、統合、ガバナンスを確保します。
    
3. 包括的なデータ収集を確保します。 関連するデータソースを特定し、完全で一貫性のあるロギングを提供し、データの品質と完全性を検証し、既存のデータ収集のギャップに対処します。
    
4. 価値の高いユースケースから始めましょう。 最も重要なセキュリティのユースケースから始めて、潜在リスクが最も高い領域に焦点を当て、早期の成功を通じて価値を実証します。
    
5. 既存のセキュリティ運用ワークフローと統合します。 アラートのルーティングを対応手順に合わせ、セキュリティチームの教育とトレーニングを行い、検出された異常に対する明確なエスカレーションパスを確立します。
    
6. 継続的に最適化し、改良します。 検出しきい値のレビューと調整、誤検知の分析、組織の変更発生時のベースラインの更新、セキュリティ アナリストからのフィードバックの組み込みを行います。

UEBA vs. アイデンティティとアクセス管理 (IAM)

UEBAとエンドポイントの検出と対応(EDR)の比較

UEBAとセキュリティ情報およびイベント管理(SIEM)の比較

ユーザーとエンティティの行動アナリティクス よくある質問

• UEBAは従来のセキュリティツールとどう違うのですか?

従来のセキュリティツールは、既知のシグネチャ、事前定義されたルール、またはパターンマッチングに依存しています。UEBAは、正常な動作のベースラインを確立し、これらのパターンから逸脱する異常を特定することで、UEBAは従来の制御では見逃されていた未知の脅威や高度な攻撃を検出できます。

• UEBAとITDRの違いは何ですか?

UEBAは、環境全体でアイデンティティがどのように使用されているか(および誤用される可能性があるか)を監視することに重点を置いていますが、アイデンティティ脅威検知および応答(ITDR)は、特にそれらのアイデンティティを管理するアイデンティティシステムへの直接攻撃を監視します。 これらは非常に補完的であり、一方からの洞察が他方の分析を豊かにすることが多く、それが全体的なアイデンティティ セキュリティ態勢の強化に貢献します。

• UEBAはどのようにして誤検知を減らしますか?

UEBAは、通常の動作パターンを理解し、リスクスコアを適用することで、本物のセキュリティ脅威と、通常とは異なるが正当な活動を区別できます。このコンテキスト認識により、ルールベースのセキュリティツールと比較して誤検知が大幅に減少します。

• UEBAは他のセキュリティテクノロジーに取って代わるものですか?

UEBAは、他のセキュリティテクノロジーを補完するものですが、それに代わるものではありません。 IT部門は、予防的制御、ネットワークセキュリティ、エンドポイント保護、その他の検出機能など、包括的なセキュリティ戦略の一部として最も効果的に機能します。

• UEBAの導入にはどのくらいの時間がかかりますか?

信頼性の高い行動ベースラインを確立するには、環境の複雑さにもよりますが、数週間から数か月のデータ収集が必要です。一部の検出機能は、他の機能よりも迅速に実現されます。UEBAの利点は、システムが時間の経過とともに正常な動作パターンを学習することで具現化されます。

Oktaでセキュリティ態勢を強化

新たなアイデンティティの脅威から組織をリアルタイムでプロアクティブに保護します。

詳細を見る