UEBAは何の略か(5分で読めるUEBA入門付き)
UEBAは何の略か
UEBAはUser and Entity Behavior Analytics(ユーザとエンティティの行動分析)を縮めた頭字語で、ユーザの行動を分析し、高度な分析を適用して異常行動を検知するサイバーセキュリティツールの分野です。この頭字語を1語ずつ説明します。
簡単なオリエンテーション:UEBA、および関連するセキュリティトレンド
UEBAとは何か
UEBAは「User and Entity Behavior Analytics(ユーザとエンティティの行動分析)」の略で、機械学習とディープラーニングを利用して社内ネットワーク上のユーザやその他のエンティティの通常の行動を学習し、異常行動を検知し、その行動にセキュリティ上の影響があるかどうかを推定する、新しい分野のセキュリティソリューションです。
相互関連付けルールや既知の攻撃パターンに基づく従来型のセキュリティツールと異なり、UEBAはノイズに紛れた新しいタイプの攻撃やインシデントを特定できます。これには、ゼロデイ攻撃や内部不正が含まれます。
UBAは何の略か
UEBAが何の略か説明したところで、UBAを定義しましょう。UBAは、User Behavior Analytics(ユーザ行動分析)の略で、UEBAに似ていますが「E」がありません。
UBAとは何か
UBA(User Behavior Analytics)は、2014年にガートナー社が造語した、UEBAカテゴリの旧称です。以前の定義では、UBAツールは個人ユーザやユーザのグループの行動のみに対して分析をしていました。
2015年に、ガートナー社は定義を改訂して「E」を入れ、カテゴリの名前をUEBA(User and Entity Behavior Analytics:ユーザとエンティティの行動分析)に変更しました。この広くなった定義では、UEBAツールはルータ、サーバ、エンドポイント、アプリケーションなどネットワーク上のユーザ以外のエンティティについても、基準となる行動を分析し、異常を検知する機能を備えています。
UEBAとUBAの違いとは?
UBAは個々のユーザの行動に注目しますが、UEBAは企業ネットワーク上で動作する新しいエンティティや多様なエンティティも分析できます。さらに、既存の内部不正に加え、外的脅威からも保護します。
UEBAとSIEMの違いとは?
SIEM(Security Information and Event Management)システムは、セキュリティオペレーションセンター(SOC)の重要なインフラです。SIEMは多くのエンタープライズシステムやその他のセキュリティツールと連動して企業全体のセキュリティログとイベントをすべて収集し、これらのイベントを分析して、セキュリティチーム向けのアラートを生成します。
UEBAはSIEMと深く関連しています。それは、多くの機能が共通しているためです。どちらも企業ネットワークからイベントを収集し、分析してアラートを生成します。しかし、UEBAソリューションが分析面に注力するのに対して、SIEMシステムは非常に幅広いセキュリティデータの扱いに長け、セキュリティアナリスト向けにデータを整理します。これによりSOCでは、系統立てた処理が可能になります。
次世代SIEM(UEBA搭載)とは何か
2017年に、ガートナー社は、SIEMプラットフォームにいくつかの高度な機能を組み込むべきであると提案しました。その1つがUEBAです。具体的には、ガートナー社はSIEMプラットフォームにUEBAソリューションを組み込んでセットで提供するように、ベンダー各社に呼びかけました。ガートナー社が直接「次世代SIEM」について言及しているわけではありませんが、同社の文書には、次世代SIEMに搭載するべき機能の概要が記載されています。この呼びかけに従ったベンダーの1社がExabeamです。これは、UEBA機能とセキュリティ自動化機能が搭載された次世代SIEMです。
UEBAはインシデントレスポンスにどのように役立つか
UEBAは、現代のインシデントレスポンスにおける重要な要素です。過去には、セキュリティアナリストは大量のアラートをより分けて「本物の」セキュリティインシデントを発見し、それからさらに追加のエビデンスを調べ、何が起こったかを明らかにしていました。
UEBAはこのプロセスの大部分を自動化します。具体的には、セキュリティ上、特に重要性のあるイベントを特定し、同じセキュリティインシデントの一部を構成している可能性がある関連イベントをまとめます。こうして、UEBAは組織がより迅速に正確なインシデントレスポンスを実行できるように支援し、セキュリティアナリストの貴重な時間も節約することができます。
5分で読めるUEBA入門
UEBAシステムのコンポーネント
上位のUEBAユースケース
UEBAが組み込まれた次世代SIEMの例
UEBAテクノロジーが組み込まれた最新のSIEMソリューションの一例は、Exabeamのセキュリティマネジメントプラットフォームです。Exabeamには以下のUEBA機能があります。
- ルールやシグネチャに依存しないインシデント検知:
Exabeamは、事前定義の相互関連付けルールや脅威パターンなしで異常行動やリスクのある行動を特定し、誤検知を抑えた意味のあるアラートを提供します。 - セキュリティインシデントタイムライン:
Exabeamはセッションをつなぎ合わせて、1つのセキュリティインシデントの完全なタイムラインを、複数のユーザ、IPアドレス、ITシステムにまたがって作成します。 - ピアのグループ化:
Exabeamは、組織内で同じロールを持つユーザなどの類似エンティティを動的にグループ化し、グループ全体の通常行動を分析し、異常行動を検知します。 - ラテラルムーブメント:
システムに侵入した攻撃者はネットワーク内を移動し、様々なIPアドレスや認証情報を使ってますます多くのシステムへのアクセス権を獲得します。Exabeamは複数のソースからのデータを組み合わせ、ネットワーク内で攻撃者がたどった道筋を明らかにします。
デモ版のExabeamで、UEBA、SIEM、SOARが統合されたプラットフォームをお試しください。
UEBAテクノロジーの詳細は、弊社の「Essential Guide to SIEM」(SIEM基本ガイド)のUEBAに関する章をご覧ください。
ORION CASSETTO
Exabeam, Inc. ディレクター、プロダクトマーケティング
脅威を丸見えに!機械学習による効果的なログ分析の実現
~UEBAを搭載した次世代SIEMプラットフォームExabeamとは~
標的型攻撃や内部不正が増加し続けている昨今、適切なセキュリティ運用を実行するため、複数のセキュリティ製品のログを相関的に分析するための仕組み(SIEM等)を構築する企業が増えています。これは、既に導入したセキュリティ製品単体のログだけでは各インシデントの影響を可視化させることが難しく、脅威を見落としてしまう可能性があるためです。しかし、このような仕組みを構築するにはセキュリティに関する知見や、分析のノウハウ、アイディアなどが必要となるため、適切な人材を確保することが難しく、実現するのは容易ではありません。本セミナーでは、UEBA(User Entity Behavior Analytics)テクノロジーによるログ分析、従来のSIEM運用の効率化を実現する"Exabeam"のご紹介します。
