ユーザーとエンティティの行動分析 (UEBA)

ユーザーとエンティティの行動分析 (UEBA) ソリューションは、異常な動作に基づいてサイバーセキュリティの脅威を特定するように設計されています。 ソリューションが組織のシステムがどのように正常に機能しているかを明確に理解すると、潜在的な脅威を示す可能性のある逸脱を特定できます。 たとえば、企業データベースからのデータの大量かつ異常なダウンロードは、進行中のデータ侵害を示している可能性があります。

デモをリクエストする 詳細はこちら

ユーザーとエンティティの行動分析 (UEBA)

ユーザーとエンティティの行動分析 (UEBA) のしくみ

UEBA ソリューションは、組織のネットワーク全体のデバイスに展開されます。 デプロイ後しばらくの間、UEBA ソリューションはデバイスを監視し、通常の使用状況のプロファイルを構築します。 これには、そのデバイスのさまざまなユーザーによるアクティビティが含まれます。 しばらくすると、UEBAは正常な動作と異常な動作と見なされるものの優れたモデルを持っています。 この時点で、学習モードからアクティブモードに移行できます。

アクティブ モードでは、UEBA ソリューションはさまざまなアクションを監視し、通常の動作のモデルに基づいて評価します。 異常なアクティビティを観察すると、管理者に警告を発し、潜在的な脅威をブロックするように設計された応答をトリガーする可能性があります。

たとえば、組織内のユーザーは、通常、勤務時間の大部分をドキュメントの編集とインターネットの閲覧に費やす場合があります。 アカウントが突然他のシステムへのリクエストやネットワークの探索を開始した場合、UEBAソリューションによってアラートが発生する可能性があります。 このアクティビティの変化は無害である可能性がありますが、ユーザーの資格情報が攻撃者によって侵害されていることを示している可能性もあります。 これが追跡である場合、UEBA ソリューションによって提供される警告は、組織に問題に対処する機会を与えます。

ユーザーとエンティティの行動分析 (UEBA) の必要性

攻撃者がユーザーのアカウントにアクセスできる場合、目的を達成するためにマルウェアや同様の手法を使用する必要はない可能性があります。 これは、この種の悪意のあるコンテンツを検出するように設計された一部のセキュリティソリューションに課題をもたらす可能性があります。

ただし、攻撃者は、目標を達成する過程で標準から逸脱したアクションを実行する可能性があります。 たとえば、データにアクセスせずにデータ侵害を実行することはできず、ランサムウェアには多数のファイル操作が含まれます。 UEBAソリューションは、これらの逸脱したアクティビティを特定して報告できるため、組織はマルウェアや悪意のあるコンテンツがない場合でも攻撃を検出できます。

UEBAの利点

UEBA は、組織の セキュリティ オペレーション センター (SOC) に次のような多くの利点を提供します。

  • 広範な脅威検出: UEBAは、通常の動作からの逸脱を探すことで脅威を特定します。 これにより、マルウェアや悪意のあるコンテンツを使用しない脅威を含む、さまざまな脅威を特定できます。
  • 自動分析: UEBAは、大量のデータを自動的に収集して分析し、モデルを構築し、異常なイベントを検出します。 これにより、セキュリティアナリストがこの分析を実行する必要なく、貴重なコンテキストが提供されます。
  • セキュリティの向上: UEBAには、他のセキュリティソリューションでは検出が困難なインサイダーの脅威やその他のリスクを特定する機能があります。 その結果、組織のサイバー攻撃のリスクが軽減されます。

UEBAとNTAの比較

UEBAと ネットワークトラフィック 分析(NTA)は、 どちらも同じ 脅威の一部を特定でき、どちらも機械学習やデータ分析などの同様の手法を使用しています。 ただし、それらは同じソリューションではありません。 たとえば、NTA は、異常としてラベル付けされたイベントだけでなく、組織のネットワーク上のイベントをより広範囲に可視化できます。 一方、UEBAソリューションは監視対象デバイスのローカルイベントを可視化しますが、NTAはネットワークレベルのイベントのみを可視化します。

UEBAとSIEMの比較

UEBAと セキュリティ情報イベント管理 (SIEM)ソリューションはどちらも、機械学習とデータ分析を使用して脅威を特定します。 ただし、これらはさまざまな種類の脅威を識別するために設計された異なるソリューションです。

一般に、SIEMソリューションは、それほど洗練されていない1回限りの脅威を特定する能力が高く、セキュリティ管理に重点を置いています。 ただし、より高度で巧妙な攻撃キャンペーンの可視性が不足している可能性があります。

一方、UEBAソリューションは、ユーザーとデバイスのプロファイルを構築し、これらのプロファイルからの逸脱を探すことに重点を置いています。 これにより、より巧妙な攻撃を特定し、SIEMが見逃す可能性のある内部脅威を検出することができます。

UEBAとInfinity XDR

UEBAソリューションは、組織のセキュリティスタック内の他のソリューションを補完する貴重な機能を提供します。 UEBAは、潜在的な攻撃に関連する可能性のある異常な動作を検出して報告することで、組織のセキュリティチームが、悪意のあるコンテンツの特定とブロックに重点を置いた他のソリューションでは見逃される可能性のあるインサイダーの脅威やその他の攻撃を検出できるようにします。

UEBA機能は、エンタープライズ統合セキュリティプラットフォームの一部である必要があります。 チェック・ポイント Infinity XDR (拡張検出および応答) は、他のさまざまなセキュリティ機能とともに UEBA を提供します。 Infinity XDRの全機能については、 このソリューション概要をご覧ください。 次に、高度なセキュリティの脅威から組織を保護するためにInfinity XDR がどのように役立つかについて詳しく知りたい場合は、今すぐ無料のデモにサインアップしてください

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK