CYBERNET
  

UEBA行動異常検知

UEBAとは「User and Entity Behavior Analytics」の略であり、ユーザーやエンティティの振る舞い分析を意味します。ここでいう「エンティティ」とは、ルーターやサーバー、エンドポイント、アプリケーションなど、ネットワーク上における「ユーザー以外」の存在を意味します。これらが不正な動作をした場合も、ユーザーによる不正なふるまいと同じように、脅威をもたらすことになるからです。

UEBAでは、「ユーザー」や「エンティティ」などの企業ネットワーク内での行動を継続的に監視し、異常行動を検知します。まず、ユーザーやエンティティの行動を学習して通常の行動パターンに関する「ベースライン」を作成し、このベースラインからの逸脱が「異常行動」とみなされ、アラートが上げられることになります。

例えば、朝9時から夕方5時までの勤務を会社のオフィス内で行う従業員がいた場合、この従業員が夜の11時に社内システムにログインし、通常アクセスしないデータベースにアクセスすると、これは「異常行動」だとみなせます。

Netskopeの高度なUEBA機能を利用することで、クラウドへの通信などを分析し、ユーザーの不審な行動を検出し、各ユーザーの信頼度を設定します。この信頼度に基づき、クラウドやウェブサイトなどへのアクセスを制御します。例えば、不審な行動を多く示すユーザーは低い信頼度となり、それに基づいてアクセスの制御が可能になります。

Netskope UEBAによる異常検知の検出例

  • ネットワーク位置情報の異常
  • 稀に発生するイベント
  • リスクのある国への通信
  • 繰り返すログイン失敗
  • 大量ファイルのダウンロード/アップロード
  • データ流出
  • 大量ファイルの削除
  • 資格情報の共有

Netskopeの先進的なUEBAの機能

UEBA MLベース 機械学習ベースで異常の可能性があるアクティビティを検知
UEBA ユーザースコア 異常アクティビティをユーザースコアに反映し、ポリシーで制御
UEBA Sequential ルール ルールベースで複数のログから異常の可能性があるアクティビティを検知


機能詳細

netskope