重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

UEBA行動異常検知

UEBAとは「User and Entity Behavior Analytics」の略であり、ユーザーやエンティティの振る舞い分析を意味します。ここでいう「エンティティ」とは、ルーターやサーバー、エンドポイント、アプリケーションなど、ネットワーク上における「ユーザー以外」の存在を意味します。これらが不正な動作をした場合も、ユーザーによる不正なふるまいと同じように、脅威をもたらすことになるからです。

UEBAでは、「ユーザー」や「エンティティ」といった企業ネットワーク内で行動を行う「主体」にフォーカスを当て、それらの行動を継続的に監視することで異常行動を検知します。そのためにまず、ユーザーやエンティティの行動を学習し、通常の行動に関する「ベースライン」を作成、ここから逸脱した行動が「異常行動」とみなされ、アラートが上げられることになります。

例えば、朝9時から夕方5時までの勤務を、会社のオフィス内で行う従業員がいたとしましょう。この従業員が夜の11時に社内システムにログインし、いつもはアクセスしないデータベースにアクセスしたとすれば、これは「異常行動」だとみなせます。

NetskopeのUEBA機能を利用すれば、クラウドへの通信などから分析してユーザーの不審な行動を見抜き、ユーザーそれぞれの信頼度数を設定し、それをもとにクラウドやウェブサイトなどへのアクセスを制御することができます。例えば、不審な行動を多く取る人は信頼できない人とみなし、ユーザーの信頼度をスコアリングすることで、点数に応じた制御が可能になります。

異常検知の検出例

  • ネットワーク位置情報の異常
  • 稀に発生するイベント
  • リスクのある国への通信
  • 繰り返すログイン失敗
  • 大量ファイルのダウンロード/アップロード
  • データ流出
  • 大量ファイルの削除
  • 資格情報の共有

Netskopeが提供するUEBAの機能

UEBA MLベース 機械学習ベースで異常の可能性があるアクティビティを検知
UEBA ユーザースコア 異常アクティビティによってユーザースコアに反映させ、ポリシーで制御する
UEBA Sequential ルール ルールベースで複数のログから異常の可能性があるアクティビティを検知


機能詳細