1. 異常アクティビティとともに通常アクティビティも表示する

「通常」アクティビティとはあるユーザとその同僚の通常の行動で、コンテキストを示すために必要です。例えば、そのユーザは日常的に特定のサーバまたは機密情報データベースにアクセスしているでしょうか。そのユーザは、日常的にウクライナからのVPN経由でネットワークにアクセスしているでしょうか。そのユーザは、日常的にDropboxに大きなファイルをアップロードしているでしょうか。また、ユーザの同僚も日常的にこのような行為をしているでしょうか。UEBAは、ユーザのセッションタイムラインで通常行動と異常行動の両方を表示する機能を備えているべきです。これにより調査担当者は、より広いコンテキストで状況を理解できるため、データ収集、検証、その後の調査に要する時間を大幅に短縮できます。

また、通常行動は、検知結果が静的な相互関連付けルールから導かれたものではないという証拠になります。ルールは異常となる条件が満たされた場合にのみ適用されるためです。悪意のない条件下では、何も表示されません。

2. ホストをIP-to-userと結びつけて識別情報を自動的に確立する

ホスト名は多種多様で、一般的に識別情報としてはあまり有用ではありません。IPアドレスは絶えず再割り当てされ、アカウントクレデンシャルはよく共有されます（特に管理者アカウント）。ホストのIP-to-userマッピング機能では、特定のホストにおけるアクティビティを、ある時間に特定のIPアドレスを利用する特定の人に確実に結びつけます。UEBAは、共有アカウントを使用している場合でも、ホストをIPと識別情報に確実かつ自動的に結びつける機能を備えているべきです。これにより、脅威検知の効果がさらに向上します。こうした点と点を手作業で結びつけるには労力が必要で、自動的に実施することで調査と是正措置に要する時間が大幅に短縮されます。

3. ラテラルムーブメントを検知する

セキュリティ侵害されたアカウントの重要な指標となるのがラテラルムーブメントです。偵察段階で、ハッカーはネットワーク全体を動き回って価値のある情報を探します。その際に、ユーザクレデンシャルやデバイスを切り替えることで、動きをわかりにくくして検知を逃れます。UEBAは、ユーザがアカウント、マシン、IPアドレスを変更していてもラテラルムーブメントを追跡する機能を備えているべきです。この機能により、効果的な検知と、より正確なインシデント調査の両方が保証されます。

4. すべてのインシデントのタイムラインを自動的に作成する

アクティビティデータはイベントという形で生成されますが、検知とレスポンスにはタイムラインが必要です。通常、複数のイベントをつなぎ合わせて総合的なタイムラインにするには、数時間あるいは数日の大変な手作業を要します。完全なタイムラインには、ユーザのすべてのアクティビティに加え、関連するすべてのエンドポイント、ネットワーク、セキュリティ、その他のシステムからのデータを使用して、ログオンからログオフまでのセッション中にやりとりした他のすべてのエンティティも含める必要があります。UEBAは、ユーザアクティビティの一貫性のあるタイムラインをすばやく自動的に生成する機能を備えているべきです。多くのUEBAツールはインシデント調査のためのタイムラインを提供しておらず、一部のツールは部分的なタイムラインの提供にとどまっています。自動生成されたタイムラインは、経験の浅いアナリストでも使用しやすい優れたインターフェイスを提供します。また、分散した個々のイベントを提示するのではなく、コンテキストとリスクスコア付きで結果を提示するため、脅威の本質をすばやく引き出し、必要に応じて解決方法を調査できます。

5. すばやく展開して真価を発揮する

UEBAのオプションを検討する際は、1日以内に利用可能になり、構成と展開に専門家によるサービスを必要とせず、組み込みのユースケースが提供されるため一からカスタマイズする必要のない展開機能があるかどうかを調べます。UEBAは、48時間以内に展開と運用開始が可能で、1週間以内に真価を発揮できる設計と機能を備えているべきです。

6. 将来のニーズに追加コストなしで容易に対応する

UEBAは、専門家のサービスやベンダーからの新たなエンジニアリングビルドなしで規模の拡大に対応でき、新機能に拡張できる機能を備えているべきです。展開のセットアップとチューニングに多くのサービスを必要とするベンダーの場合、お客様が環境に変更を加えたり、新しいデータソースを追加したり、新しいユースケースへの対応を試みたりするたびに、同レベルの作業を、それに応じた費用とともに要求されることがよくあります。ビジネスイニシアチブを推進するために不利益を被ることがあってはなりません。効果的なUEBAは、時とともにニーズが変化するにつれ、ますます真価を発揮します。

7. ベンダーにVPNアクセス権を与えずに展開できる

多くのUEBAソリューションでは、展開時と本番環境への移行後に、幅広いサービスと多くのカスタマイズが必要になります。この作業は通常、社外または国外のエンジニアが実行するため、ネットワークへのVPNアクセスが必要になります。法規制が厳しい業界の多くの企業では、これが問題になります。UEBAは、外部のベンダーがVPNアクセスすることなく展開とサポートができる機能を備えているべきです。UEBAはセキュリティリスクを最小化すべきであって、新たなセキュリティリスクを持ち込んではなりません。

また、本番環境で実現すること（つまり、外部からのVPN アクセスがないこと）を反映した評価が必要で、それによって予め何をしようとしているか意識できます。

8. エージェントやネットワークタップの展開を必要としない

UEBAソリューションによっては、必要なデータを収集するために追加のインフラを展開する必要があります。追加のインフラとは、一般的にはエンドポイントエージェント（各デバイスにインストール）またはネットワークタップです。これにより依存関係が生まれ、パイロット期間が数か月延長される可能性があります。UEBAは、外部のエージェントまたはタップをインストールしなくても稼働する機能を備えているべきです。タップやエージェントが有用な追加情報を提供する可能性もありますが、ログデータを分析するUEBAソリューションのように、追加のインフラの展開を必要とせずに価値を提供するUEBAソリューションもあります。

9. 事前対応型の脅威ハンティング機能を実現する

UEBAソリューションを使用した脅威ハンティングは、収集したセキュリティデータの単純または複雑な検索の実行を必要とします。そのために、独自のクエリ言語の深い理解、構文への細かい注意、複数の単純な検索結果のつなぎ合わせが必要になってはなりません。また、結果を返すのに数時間かかるべきでもありません。自動生成されたタイムラインと幅広いドロップダウンを備えた脅威ハンティング機能は、様々な引数に対応し、セッション化された（つまり、細かくインデックス付けされた）データによって機能し、完全なインシデントタイムラインを返す必要があります。無関係に見えるイベントレコードを、もう1セット生成するような機能であってはなりません。

10. SOARとの統合で自動化に対応する

SOAR（Security Orchestration, Automation, and Response）は、UEBAのコンテキストにおける重要事項です。脅威を発見した後、一般的なSOCアナリストのワークフローでは、複数のインターフェイスを備えた複数の製品を、複数のクレデンシャルで利用する必要があります。このたくさんのウィンドウを並べた作業は「回転椅子のインシデントレスポンス」と呼ばれるように、手作業が立て続けに発生して可視性、スピード、生産性を低下させます。SOARはUEBAソリューションを補強する追加機能で、一元化されたアプローチと1つのコンソールでデータを読み込んでアクションを別のシステムに送り込みます。基本的に、UEBAテクノロジーをSOARツールと統合するとインシデントレスポンスが自動化されます。半自動または全自動のインシデントプレイブック処理が搭載されたUEBAソリューションを探してください。これにより、SOCアナリストは生産性の向上を実感し、インシデントレスポンスを迅速化して、よりよいエンタープライズセキュリティを実現できます。

まとめ

ORION CASSETTO
Exabeam, Inc. ディレクター、プロダクトマーケティング

オンデマンド動画

脅威を丸見えに！機械学習による効果的なログ分析の実現
～UEBAを搭載した次世代SIEMプラットフォームExabeamとは～

標的型攻撃や内部不正が増加し続けている昨今、適切なセキュリティ運用を実行するため、複数のセキュリティ製品のログを相関的に分析するための仕組み(SIEM等)を構築する企業が増えています。これは、既に導入したセキュリティ製品単体のログだけでは各インシデントの影響を可視化させることが難しく、脅威を見落としてしまう可能性があるためです。しかし、このような仕組みを構築するにはセキュリティに関する知見や、分析のノウハウ、アイディアなどが必要となるため、適切な人材を確保することが難しく、実現するのは容易ではありません。本セミナーでは、UEBA(User Entity Behavior Analytics)テクノロジーによるログ分析、従来のSIEM運用の効率化を実現する“Exabeam”のご紹介します。

視聴はこちらから