UEBAとは、人や機器に焦点を当てて、システム上の振る舞いを機械学習技術を活用して分析し、通常ならばあり得ない異常な行動を検知し、警告を発するツールのことです。SIEMで統合管理しているログ情報などを元に人や機器の行動を解析し、サイバー攻撃者や内部犯行者による不審な行動を見つけ出します。たとえば、「いつもは就業時間内にファイルサーバへアクセスしているユーザーが、突然深夜にアクセスを行ってきた」という具合に、機械学習で蓄積した普段の行動パターンから逸脱した動きがあれば、アラートを発する仕組みです。

これにより、フィッシング詐欺などでIDやパスワードを手に入れて正規ユーザーのふりをしたり、退職前にデータを持ち出そうとしている社員が、普段は残業が少ないにもかかわらず深夜に大量のウェブアップロードをする、などの特定ルールでは発見することが難しい不正アクセスや内部犯行の兆候をあぶり出し、手を打つことができます。