UEBAとは「User and Entity Behavior Analytics」の略であり、ユーザーやエンティティの振る舞い分析を意味します。ここでいう「エンティティ」とは、ルーターやサーバー、エンドポイント、アプリケーションなど、ネットワーク上における「ユーザー以外」の存在を意味します。これらが不正な動作をした場合も、ユーザーによる不正なふるまいと同じように、脅威をもたらすことになるからです。
UEBAでは、「ユーザー」や「エンティティ」などの企業ネットワーク内での行動を継続的に監視し、異常行動を検知します。まず、ユーザーやエンティティの行動を学習して通常の行動パターンに関する「ベースライン」を作成し、このベースラインからの逸脱が「異常行動」とみなされ、アラートが上げられることになります。
例えば、朝9時から夕方5時までの勤務を会社のオフィス内で行う従業員がいた場合、この従業員が夜の11時に社内システムにログインし、通常アクセスしないデータベースにアクセスすると、これは「異常行動」だとみなせます。
Netskopeの高度なUEBA機能を利用することで、クラウドへの通信などを分析し、ユーザーの不審な行動を検出し、各ユーザーの信頼度を設定します。この信頼度に基づき、クラウドやウェブサイトなどへのアクセスを制御します。例えば、不審な行動を多く示すユーザーは低い信頼度となり、それに基づいてアクセスの制御が可能になります。
Netskope UEBAによる異常検知の検出例
- ネットワーク位置情報の異常
- 稀に発生するイベント
- リスクのある国への通信
- 繰り返すログイン失敗
- 大量ファイルのダウンロード/アップロード
- データ流出
- 大量ファイルの削除
- 資格情報の共有
Netskopeの先進的なUEBAの機能
| UEBA MLベース | 機械学習ベースで異常の可能性があるアクティビティを検知 |
|---|---|
| UEBA ユーザースコア | 異常アクティビティをユーザースコアに反映し、ポリシーで制御 |
| UEBA Sequential ルール | ルールベースで複数のログから異常の可能性があるアクティビティを検知 |
