ユーザーとエンティティの振る舞い分析(UEBA)とは

ユーザーとエンティティの振る舞い分析(UEBA)、またはユーザーの振る舞い分析(UBA)は、サイバーセキュリティ ソリューションまたは機能の一種であり、通常の基準から逸脱するアクティビティを特定することによって脅威を発見します。UEBAはさまざまな理由で使用できますが、最も一般的な用途は、コンピュータ ネットワークやエンドポイントでの異常なトラフィック パターン、不正なデータ アクセスとデータ移動、疑わしいアクティビティや悪意のあるアクティビティの監視および検出です。

企業にUEBAが必要な理由

多くのセキュリティ運用では、セキュリティ情報イベント管理(SIEM)プラットフォームを使用して、セキュリティ脅威の可能性を検出し、特定しています。SIEMはイベント ログおよびセキュリティ アラートを集約しますが、マルウェアが関連しない未知または高度なセキュリティ脅威(認証情報の窃取など)や、すでにネットワークに侵入している内部および外部の攻撃者の検出は得意ではありません。
 

これからのNGAVが進む道とは


このギャップを埋めるために、サイバーセキュリティ分析ツールの2つ主要なカテゴリが登場しました。

  • ユーザーとエンティティの振る舞い分析(UEBA)
  • ネットワーク トラフィック分析(NTA) (ネットワーク ディテクション&レスポンス(NDR)とも呼ばれる)

UEBAとNTAの違い

UEBA ソリューションは一般的に、パッケージ製品として、またはクラウド アクセス セキュリティ ブローカー(CASB)やディテクション&レスポンス プラットフォームなどの従来のセキュリティ製品に組み込まれて提供されます。UEBAは、ネットワーク ユーザー、およびホスト、アプリケーション、データ リポジトリ、ネットワーク トラフィックなどの他のエンティティからのアクティビティを分析します。 また、機械学習をリアルタイムおよび過去のデータに適用して、正常なアクティビティの基準を構築します。

この基準が確立されたら、UEBAソリューションは簡易な統計、パターン マッチング、署名を使用するルールなどの多数の分析方法を適用して、疑わしい、あるいは悪意のあるアクティビティの可能性を示す異常を探します。UEBAソリューションが振る舞い分析を効果的に実行するには、まず機械学習ツール用の堅牢で統合されたデータ セットが必要です。

UEBAシステムは、機械学習および振る舞い分析をユーザー、マシン、エンティティに適用することにより、内部関係者による脅威、マルウェア、および高度な攻撃を検出できます。UEBAシステムはリアルタイムで異常なアクティビティを見つけるための洞察、および調査についての洞察を提供するため、アナリストはさらなる損害が発生する前に、脅威をすばやく確認して軽減することができます。

NTAソリューションは機械学習、高度な分析、およびルールベースの検出を使用して、企業ネットワーク上のすべてのトラフィックおよびフロー レコードを監視、分析することにより、攻撃の可能性、内部関係者の不正利用、疑わしいアクティビティ、およびマルウェアを特定します。これには、企業境界を通過するすべてのNorth-Southトラフィック、およびネットワーク センサーからのすべてのEast-West通信の監視と分析が含まれます。
 

UEBAとNTAの利点と欠点

UEBA

利点

欠点

  • 分析およびデータ サイエンスのアプリケーションがデータをログに記録して、巨大なリポジトリに埋もれたままになりかねないセキュリティ脅威を発見することを可能にします。
  • ネットワークを使用するすべてのユーザーおよびその他のエンティティの追跡と監視を可能にします。
  • セキュリティ イベントの数を減らし、運用効率を大幅に向上させます。
  • UEBAのログは企業ネットワークのほんの一部に対してしか有効にならないため、ネットワークの動作およびイベントを限られた範囲でしか把握できません。
  • 具体的なセキュリティ攻撃を特定できません。
  • 潜在的な脅威を監視、特定、分析し、リスク スコアを割り当てるためにサードパーティのログが必要です。サードパーティのロガーに障害が発生すると、UEBAは機能しません。
  • 導入に時間がかかります。多くのベンダーはUEBAが数日で導入可能と主張していますが、Gartnerのクライアントからは、単純な場合で3~6か月かかることが多く、複雑な場合には最大で18か月かかることが報告されています。
  • 部門をまたぐ多数の承認およびシステム設定が必要です。

NTA

利点

欠点

  • 企業は、ログに記録されたものだけでなく、ネットワーク全体でのすべてのイベントを把握できます。これには、攻撃の初期段階から最終段階までの攻撃者のアクティビティおよび手法のあらゆる側面が含まれます。
  • 企業はネットワーク デバイスおよびユーザー アカウントをプロファイリングできます。
  • 比較的簡単に導入できます。
  • 短期間でコストを回収できますが、どの種類のセキュリティの問題を探し、どのようにして特定するべきかを判断するにはセキュリティ チームの専門知識が必要です。
  • 対象範囲は広いですが、深くありません。
  • ローカル イベントは追跡できません。


UEBAの機能は他のツールとますます統合されているため、SecOpsチームは潜在的なセキュリティ脅威を検出するためのより優れた高度な分析を提供することができます。Gartnerの予測によると、2021年には、スタンドアロンのUEBA市場は存在しなくなります。代わりにUEBAはSIEMやその他のツールを高度な分析機能で最新化するために使用されるようになり、その機能はそれらのプラットフォームに直接組み込まれます。1

XDR: セキュリティへの新たなアプローチ

UEBAの機能は、 XDRと呼ばれる、新しい種類の脅威の検出と対応ツールにも統合されています。XDRの「X」は、ネットワーク、エンドポイント、クラウドなど、あらゆるデータ ソースを意味しています。XDRは、SIEMよりも深いがエンドポイントには限定されない脅威の可視化の必要性の認識から、エンドポイント ディテクション&レスポンス(EDR)ツールの進化版として登場しました。XDRは調査を加速させ、自動化を使用してセキュリティ運用チームの生産性を増幅させます。

XDRは、EDR、UEBA、NTA、次世代アンチウイルスなどのツールのすべての機能を1つのソリューションに統合することで、可能な限り最高のセキュリティを提供します。ネットワーク、クラウド、エンドポイントを含むインフラストラクチャ全体に企業が必要とする包括的な可視性および堅牢な振る舞い分析を提供し、潜在的なセキュリティ脅威を特定、捕捉、調査し、これに対応します。図1に示すように、XDRは多数の機能および利点を企業に提供します。

XDRにより、企業は表示を追跡し、ツールを統合し、大規模な分析を使用し、調査を簡素化することができます。XDRでは、アナリストはより速く未然に脅威に対処することができます。

図1: XDRの機能

XDRの詳細については、こちらをクリックしてください。

業界初の拡張ディテクション&レスポンス プラットフォームであるCortex XDRには、包括的なユーザーの振る舞い分析(UBA)のための ID分析機能が含まれます。ID分析では、従来のツールでは見つけられない、リスクをもたらす悪意のあるユーザーの振る舞いを検出できます。攻撃を示唆する異常な振る舞いを検出することで、認証情報の窃取、ブルートフォース、「ありえない移動」などの攻撃を極めて高精度で特定します。

ID分析は、ユーザーのリスク スコア、関連アラート、インシデント、アーティファクト、最近のアクティビティなど、各ユーザーに関する包括的な情報を提供します。また、WorkdayなどのHRアプリ、SailPointなどのセキュリティ ソリューション、および主要なIDプロバイダからデータを収集することで、ユーザー コンテキストも提供します。すぐに使用できるUBA検出機能は、複数の種類のデータを調べることで、回避型脅威も検出します。

出典

  1. 「Market Guide for User and Entity Behavior Analytics」、Gartner、2019年5月21日、https://www.cbronline.com/wp-content/uploads/dlm_uploads/2018/07/gartner-market-guide-for-ueba-2018-analyst-report.pdf

リソース