ユーザーとエンティティの行動分析 (UEBA) ソリューションは、異常な動作に基づいてサイバーセキュリティの脅威を特定するように設計されています。 ソリューションが組織のシステムがどのように正常に機能しているかを明確に理解すると、潜在的な脅威を示す可能性のある逸脱を特定できます。 たとえば、企業データベースからのデータの大量かつ異常なダウンロードは、進行中のデータ侵害を示している可能性があります。
UEBA ソリューションは、組織のネットワーク全体のデバイスに展開されます。 デプロイ後しばらくの間、UEBA ソリューションはデバイスを監視し、通常の使用状況のプロファイルを構築します。 これには、そのデバイスのさまざまなユーザーによるアクティビティが含まれます。 しばらくすると、UEBAは正常な動作と異常な動作と見なされるものの優れたモデルを持っています。 この時点で、学習モードからアクティブモードに移行できます。
アクティブ モードでは、UEBA ソリューションはさまざまなアクションを監視し、通常の動作のモデルに基づいて評価します。 異常なアクティビティを観察すると、管理者に警告を発し、潜在的な脅威をブロックするように設計された応答をトリガーする可能性があります。
たとえば、組織内のユーザーは、通常、勤務時間の大部分をドキュメントの編集とインターネットの閲覧に費やす場合があります。 アカウントが突然他のシステムへのリクエストやネットワークの探索を開始した場合、UEBAソリューションによってアラートが発生する可能性があります。 このアクティビティの変化は無害である可能性がありますが、ユーザーの資格情報が攻撃者によって侵害されていることを示している可能性もあります。 これが追跡である場合、UEBA ソリューションによって提供される警告は、組織に問題に対処する機会を与えます。
攻撃者がユーザーのアカウントにアクセスできる場合、目的を達成するためにマルウェアや同様の手法を使用する必要はない可能性があります。 これは、この種の悪意のあるコンテンツを検出するように設計された一部のセキュリティソリューションに課題をもたらす可能性があります。
ただし、攻撃者は、目標を達成する過程で標準から逸脱したアクションを実行する可能性があります。 たとえば、データにアクセスせずにデータ侵害を実行することはできず、ランサムウェアには多数のファイル操作が含まれます。 UEBAソリューションは、これらの逸脱したアクティビティを特定して報告できるため、組織はマルウェアや悪意のあるコンテンツがない場合でも攻撃を検出できます。
UEBA は、組織の セキュリティ オペレーション センター (SOC) に次のような多くの利点を提供します。
UEBAと ネットワークトラフィック 分析(NTA)は、 どちらも同じ 脅威の一部を特定でき、どちらも機械学習やデータ分析などの同様の手法を使用しています。 ただし、それらは同じソリューションではありません。 たとえば、NTA は、異常としてラベル付けされたイベントだけでなく、組織のネットワーク上のイベントをより広範囲に可視化できます。 一方、UEBAソリューションは監視対象デバイスのローカルイベントを可視化しますが、NTAはネットワークレベルのイベントのみを可視化します。
UEBAと セキュリティ情報イベント管理 (SIEM)ソリューションはどちらも、機械学習とデータ分析を使用して脅威を特定します。 ただし、これらはさまざまな種類の脅威を識別するために設計された異なるソリューションです。
一般に、SIEMソリューションは、それほど洗練されていない1回限りの脅威を特定する能力が高く、セキュリティ管理に重点を置いています。 ただし、より高度で巧妙な攻撃キャンペーンの可視性が不足している可能性があります。
一方、UEBAソリューションは、ユーザーとデバイスのプロファイルを構築し、これらのプロファイルからの逸脱を探すことに重点を置いています。 これにより、より巧妙な攻撃を特定し、SIEMが見逃す可能性のある内部脅威を検出することができます。
UEBAソリューションは、組織のセキュリティスタック内の他のソリューションを補完する貴重な機能を提供します。 UEBAは、潜在的な攻撃に関連する可能性のある異常な動作を検出して報告することで、組織のセキュリティチームが、悪意のあるコンテンツの特定とブロックに重点を置いた他のソリューションでは見逃される可能性のあるインサイダーの脅威やその他の攻撃を検出できるようにします。
UEBA機能は、エンタープライズ統合セキュリティプラットフォームの一部である必要があります。 チェック・ポイント Infinity XDR (拡張検出および応答) は、他のさまざまなセキュリティ機能とともに UEBA を提供します。 Infinity XDRの全機能については、 このソリューション概要をご覧ください。 次に、高度なセキュリティの脅威から組織を保護するためにInfinity XDR がどのように役立つかについて詳しく知りたい場合は、今すぐ無料のデモにサインアップしてください。