UEBAは何の略か(5分で読めるUEBA入門付き)

UEBAは何の略か

UEBAUser and Entity Behavior Analytics(ユーザとエンティティの行動分析)を縮めた頭字語で、ユーザの行動を分析し、高度な分析を適用して異常行動を検知するサイバーセキュリティツールの分野です。この頭字語を1語ずつ説明します。

User(ユーザ) UEBAテクノロジーは、ネットワーク、アプリケーション、およびその他のITシステムにおけるユーザの行動を理解し、セキュリティの問題を特定するために役立ちます。
Entity(エンティティ) UEBAの「E」は、ガートナー社により2015年に導入されました。UEBAテクノロジーでは、ルータ、サーバ、エンタープライズアプリケーション、さらにはIoTデバイスなど、ユーザ以外の実体(エンティティ)も監視できます。
Behavior(行動) UEBAはユーザとエンティティに対して何をするのでしょうか。ユーザやエンティティが「通常」どのように行動するかを定義する行動の基準(ベースライン)を作成します。その後、その基準から逸脱した異常を識別します。これには、セキュリティ上の重要性があります。
Analytics(分析) UEBAの分析部分は、AIと機械学習のアルゴリズムに基づいています。UEBAは大量のデータを取り込み、機械学習モデルに読み込みます。このモデルは数千のユーザ、エンティティ、ピアグループにわたって過去の行動を学習し、何が異常な行動を構成するかを理解します。

簡単なオリエンテーション:UEBA、および関連するセキュリティトレンド

UEBAとは何か

UEBAは「User and Entity Behavior Analytics(ユーザとエンティティの行動分析)」の略で、機械学習とディープラーニングを利用して社内ネットワーク上のユーザやその他のエンティティの通常の行動を学習し、異常行動を検知し、その行動にセキュリティ上の影響があるかどうかを推定する、新しい分野のセキュリティソリューションです。

相互関連付けルールや既知の攻撃パターンに基づく従来型のセキュリティツールと異なり、UEBAはノイズに紛れた新しいタイプの攻撃やインシデントを特定できます。これには、ゼロデイ攻撃や内部不正が含まれます。

UBAは何の略か

UEBAが何の略か説明したところで、UBAを定義しましょう。UBAは、User Behavior Analytics(ユーザ行動分析)の略で、UEBAに似ていますが「E」がありません。

UBAとは何か

UBA(User Behavior Analytics)は、2014年にガートナー社が造語した、UEBAカテゴリの旧称です。以前の定義では、UBAツールは個人ユーザやユーザのグループの行動のみに対して分析をしていました。

2015年に、ガートナー社は定義を改訂して「E」を入れ、カテゴリの名前をUEBA(User and Entity Behavior Analytics:ユーザとエンティティの行動分析)に変更しました。この広くなった定義では、UEBAツールはルータ、サーバ、エンドポイント、アプリケーションなどネットワーク上のユーザ以外のエンティティについても、基準となる行動を分析し、異常を検知する機能を備えています。

UEBAとUBAの違いとは?

UBAは個々のユーザの行動に注目しますが、UEBAは企業ネットワーク上で動作する新しいエンティティや多様なエンティティも分析できます。さらに、既存の内部不正に加え、外的脅威からも保護します。

UEBAとSIEMの違いとは?

SIEM(Security Information and Event Management)システムは、セキュリティオペレーションセンター(SOC)の重要なインフラです。SIEMは多くのエンタープライズシステムやその他のセキュリティツールと連動して企業全体のセキュリティログとイベントをすべて収集し、これらのイベントを分析して、セキュリティチーム向けのアラートを生成します。

UEBAはSIEMと深く関連しています。それは、多くの機能が共通しているためです。どちらも企業ネットワークからイベントを収集し、分析してアラートを生成します。しかし、UEBAソリューションが分析面に注力するのに対して、SIEMシステムは非常に幅広いセキュリティデータの扱いに長け、セキュリティアナリスト向けにデータを整理します。これによりSOCでは、系統立てた処理が可能になります。

次世代SIEM(UEBA搭載)とは何か

2017年に、ガートナー社は、SIEMプラットフォームにいくつかの高度な機能を組み込むべきであると提案しました。その1つがUEBAです。具体的には、ガートナー社はSIEMプラットフォームにUEBAソリューションを組み込んでセットで提供するように、ベンダー各社に呼びかけました。ガートナー社が直接「次世代SIEM」について言及しているわけではありませんが、同社の文書には、次世代SIEMに搭載するべき機能の概要が記載されています。この呼びかけに従ったベンダーの1社がExabeamです。これは、UEBA機能とセキュリティ自動化機能が搭載された次世代SIEMです。

UEBAはインシデントレスポンスにどのように役立つか

UEBAは、現代のインシデントレスポンスにおける重要な要素です。過去には、セキュリティアナリストは大量のアラートをより分けて「本物の」セキュリティインシデントを発見し、それからさらに追加のエビデンスを調べ、何が起こったかを明らかにしていました。

UEBAはこのプロセスの大部分を自動化します。具体的には、セキュリティ上、特に重要性のあるイベントを特定し、同じセキュリティインシデントの一部を構成している可能性がある関連イベントをまとめます。こうして、UEBAは組織がより迅速に正確なインシデントレスポンスを実行できるように支援し、セキュリティアナリストの貴重な時間も節約することができます。

5分で読めるUEBA入門

UEBAシステムのコンポーネント

分析モジュール 解析したイベントデータを取り込んで分析し、異常を特定してセキュリティインシデントに優先順位を付けます。
中央ストレージ 生データと分析結果をここに保存します。
自動応答 UEBAソリューションをITシステムやセキュリティツールと統合し、セキュリティインシデントに対して自動応答を実行できます。これは、SOAR(Security Orchestration, Automation, and Response)という専用のソリューションで行うこともできます。

上位のUEBAユースケース

悪意のある内部関係者 UEBAソリューションでは、従来型のセキュリティツールでは無害に見える行動であっても、悪意のある内部関係者を特定できます。これを行うため、各ユーザの通常の行動の基準を定義し、その行動が変化したときに検知しています。
侵害を受けた内部関係者 UEBAソリューションは、特権アカウントをコントロールした攻撃者がアカウント所有者の知らないうちに実行した有害な行動をすばやく検知できます。また、ラテラルムーブメントも検知できます。これは、攻撃者がITシステムにさらに深く侵入するために、別のシステムやユーザアカウントに乗り換える行為です。
インシデントの優先順位付け UEBAは、特に異常な、疑わしい、または危険性をはらむインシデントをインテリジェントに予測できます。相互関連付けルールや攻撃パターンのさらに先を行き、未知の有害なアクティビティを特定します。また、組織におけるアセットの重要性に関するコンテキストも追加できます。例えば、きわめて重要なデータを保管しているシステムなら、通常行動からわずかにずれただけでも重要とみなします。
DLP(データ損失防止) 多くの大企業が使用するDLPツールからUEBAによってアラートを取得し、優先順位を付けて統合することで、真に異常な行動を表しているアラートを把握することができます。これによりアラート疲れが軽減され、アナリストがすばやく真のデータ漏洩を特定できるようになります。
エンティティ分析(IoT) IoTはセキュリティ上の大きな課題となっています。組織によっては数千台のIoTデバイスを現場に配置しているにもかかわらず、その動作に対する可視性は限定されています。また、セキュリティ機能も原始的です。UEBAは台数制限なく接続済みデバイスを追跡して行動基準を定義し、通常と異なるソースからの接続、通常と異なる時間の行動、通常は使用していないデバイス機能の使用など、異常行動や悪意のある行動を特定できます。

UEBAが組み込まれた次世代SIEMの例

UEBAテクノロジーが組み込まれた最新のSIEMソリューションの一例は、Exabeamのセキュリティマネジメントプラットフォームです。Exabeamには以下のUEBA機能があります。

  • ルールやシグネチャに依存しないインシデント検知: Exabeamは、事前定義の相互関連付けルールや脅威パターンなしで異常行動やリスクのある行動を特定し、誤検知を抑えた意味のあるアラートを提供します。
  • セキュリティインシデントタイムライン: Exabeamはセッションをつなぎ合わせて、1つのセキュリティインシデントの完全なタイムラインを、複数のユーザ、IPアドレス、ITシステムにまたがって作成します。
  • ピアのグループ化: Exabeamは、組織内で同じロールを持つユーザなどの類似エンティティを動的にグループ化し、グループ全体の通常行動を分析し、異常行動を検知します。
  • ラテラルムーブメント: システムに侵入した攻撃者はネットワーク内を移動し、様々なIPアドレスや認証情報を使ってますます多くのシステムへのアクセス権を獲得します。Exabeamは複数のソースからのデータを組み合わせ、ネットワーク内で攻撃者がたどった道筋を明らかにします。

デモ版のExabeamで、UEBA、SIEM、SOARが統合されたプラットフォームをお試しください。

UEBAテクノロジーの詳細は、弊社の「Essential Guide to SIEM」(SIEM基本ガイド)のUEBAに関する章をご覧ください。

ORION CASSETTO

ORION CASSETTO
Exabeam, Inc. ディレクター、プロダクトマーケティング

オンデマンド動画

脅威を丸見えに!機械学習による効果的なログ分析の実現
~UEBAを搭載した次世代SIEMプラットフォームExabeamとは~

標的型攻撃や内部不正が増加し続けている昨今、適切なセキュリティ運用を実行するため、複数のセキュリティ製品のログを相関的に分析するための仕組み(SIEM等)を構築する企業が増えています。これは、既に導入したセキュリティ製品単体のログだけでは各インシデントの影響を可視化させることが難しく、脅威を見落としてしまう可能性があるためです。しかし、このような仕組みを構築するにはセキュリティに関する知見や、分析のノウハウ、アイディアなどが必要となるため、適切な人材を確保することが難しく、実現するのは容易ではありません。本セミナーでは、UEBA(User Entity Behavior Analytics)テクノロジーによるログ分析、従来のSIEM運用の効率化を実現する“Exabeam”のご紹介します。

視聴はこちらから