UEBA:上位アラートの調査

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • View in full screen mode

受信するイベントをベースラインと比較して検知された異常は、毎時間集計され、アラートが生成されます。ベースラインからの逸脱が比較的大きく、異常の構成の特異性がある場合は、アラート スコアが高くなる可能性があります。

[OVERVIEW]タブまたは[ALERTS]タブでは、環境内で最もクリティカルなアラートをすばやく表示し、調査を開始できます。次の図は、[OVERVIEW]タブの上位アラートの例です。アラートは、重大度とアラートが生成されたユーザの数の順に表示されます。

UEBA Overview view

このページのアラートを調査するには、[Top Alerts]セクションのアラートをクリックして、アラートの詳細を表示します。

次の図は、アラートの原因となったイベントとその発生時間の詳細を示しています。

User profile page of event that caused an alert

[OVERVIEW]タブの[Alerts Severity]パネルで、チャート内のバーをクリックすると、次の図に示すように、[ALERTS]タブで上位アラートを確認できます。

Top alerts in the Alerts tab

アラートの調査は、システムが侵害されたと思われる期間を集中して調査したい場合に特に役立ちます。[ALERTS]タブでは、期間を指定してフォレンジック情報を表示し、その期間中に発生したイベントに関する詳細情報を収集できます。

Alerts tab with date range

クリティカルなアラートの調査を開始する

クリティカルなアラートの調査は、次の方法で開始できます。

Flow diagram of investigating alerts workflow

  1. [OVERVIEW]タブで、[Alerts Severity]パネルを確認します。
    Alerts Severity pane
    アラートの分布は均等ですか、それとも数日にわたって顕著なスパイクがありましたか? スパイクはマルウェアなどの不審なアクティビティを示す可能性があります。対象の日付を記録し、アラートを検査します(チャートのバーをクリックすると、その日のアラートに直接リンクしています)。
  2. [ALERTS]タブで、インジケータの数でアラートをソートします。
    Alerts tab sorted by number of indicators
    最も多くのインジケータを含むアラートがリストの一番上に表示されていることを確認します。アラートの数が最も多いユーザを特定するのと同様に、インジケータの多いアラートほど、より興味深いストーリーが得られ、より信頼できるタイムラインが提供されます。
  3. リスト内の上位アラートを展開します。

    • さまざまなデータソースを持つアラートを探します。こうしたアラートは、より幅広い行動パターンを示しています。
    • さまざまなインジケータを探します。
    • 特に、人間が手動で実行できるアクティビティを超えた高い値(たとえば、ユーザが8000ファイルにアクセスした場合)のように、高い数値を持つインジケータを探します。
  4. ユーザが通常は変更しないようなWindowsイベント タイプを探します。このようなイベントは、不審な管理アクティビティである可能性があります。
  5. インジケータにより検索します。
    Indicators displayed in the Alerts tab
    リストには、インジケータとそのインジケータを含むアラートの数が表示されます。
    • 最もアラート数の多いインジケータを探します。そのインジケータを1つずつフィルタに設定し、ユーザごとのインジケータ数を確認し、インジケータが最も多いユーザを見つけます。
    • 一般に、時間に関係するアラート(たとえば、異常なログオン時間)は非常に多く発生するため、無視することができます。ただし、より関心の高いインジケータと組み合わせることにより、有用なコンテキストを提供します。
  6. 詳細を絞り込みます。
    • アラート名から、脅威のストーリーの構築を開始します。アラートの名前は通常、最もスコアに貢献したインジケータにより決定されるため、そこから、このユーザにアラートのフラグが設定された理由を説明してみます。
    • タイムラインを使用して、見つかったアクティビティを整理し、観察された行動から説明できる内容について考察します。
    • その後、それぞれのインジケータを確認し、グラフやイベント形式の補足情報を、アナリストによるインシデントの検証に役立てます。外部リソース(たとえば、SIEM、ネットワーク フォレンジック、ユーザや管理職への直接連絡)を使用して、調査の次の段階の可能性を提案します。
    • 調査の最後に、フィードバックを促し、コメントを残します。
  7. アラートの調査によって特定された脅威に対処するアクションを実行します。詳細については、「高リスク ユーザに対するアクション」を参照してください。

次のトピックでは、アラートを調査するさまざまな方法について説明しています。

You are here
Table of Contents > 上位アラートの調査

Attachments

    Outcomes