UEBA:NetWitness UEBAインジケータ

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • View in full screen mode

NetWitness UEBAインジケータ

次の表では、潜在的に悪意のあるアクティビティが検知された場合に表示するインジケータを示します。

Windowsファイル サーバ

                                                          
インジケータアラート タイプ説明
Abnormal File Access Time Non-Standard Hours ユーザが異常な時間にファイルにアクセスしました。
Abnormal File Access Permission Change Mass Permission Changes ユーザが複数の共有アクセス許可を変更しました。
Abnormal File Access Event Abnormal File Accessユーザが異常なファイルにアクセスを実行しました。
Multiple File Access Permission Changes Mass Permission Changes ユーザが複数のファイル共有のアクセス許可を変更しました。
Multiple File Access Events Snooping User ユーザが複数のファイル共有のアクセス許可を変更しました。
Multiple Failed File Access Events Snooping User ユーザがファイルのアクセスに複数回失敗しました。
Multiple File Open Events Snooping User ユーザが複数のファイルを開きました。
Multiple Folder Open Events Snooping User ユーザが複数のフォルダを開きました。
Multiple File Delete Events Abnormal File Access ユーザが複数のファイルを削除しました。

Active Directory

                                                                              
インジケータアラート タイプ説明
Abnormal Active Directory Change Time Non-Standard Hours ユーザが、異常な時間にActive Directoryを変更しました。
Abnormal Active Directory Change Abnormal AD Changes Active Directory属性に対して異常な変更が行われました。
Multiple Group Membership Changes Mass Changes to Groups ユーザがグループに対する複数の変更に成功しました。
Multiple Account Management Changes Abnormal AD Changes ユーザがActive Directoryに対する複数の変更に成功しました。
Multiple User Account Management Changes Abnormal AD Changes ユーザがActive Directoryに対する複数の機密性の高い変更に成功しました。
Multiple Failed Account Management Changes Abnormal AD Changes ユーザが複数のActive Directoryの変更に失敗しました。
Admin Password Changed Admin Password Change 管理者のパスワードが変更されました。
User Account Enabled Sensitive User Status Changes ユーザのアカウントが有効化されました。
User Account Disabled Sensitive User Status Changes ユーザのアカウントが無効化にされました。
User Account Unlocked Sensitive User Status Changes ユーザのアカウントがロック解除されました。
User Account Type Changed Sensitive User Status Changes ユーザのタイプが変更されました。
User Account Locked Sensitive User Status Changes ユーザのアカウントがロックされました。
User Password Changed Sensitive User Status Changes ユーザのパスワードが変更されました。

ログオン アクティビティ

                                      
インジケータアラート タイプ説明
Abnormal Logon Time Non-Standard Hours ユーザが異常な時間にログオンしました。
Abnormal Computer User Login to Abnormal Host ユーザが異常なコンピュータにアクセスしようとしました。
Multiple Successful Authentications Multiple Logons by User ユーザが複数回ログオンしました。
Multiple Failed Authentications Multiple Failed Logons ユーザが複数の認証試行に失敗しました。
Logged onto Multiple Computers User Logged into Multiple Hosts ユーザが複数のコンピュータからログオンしようとしました。

NetWitness UEBAでのWindowsログのユースケース

NetWitness UEBAは、インサイダー脅威から企業を守るために高度な検知機能を提供することに焦点を当てています。こうした脅威は、ネットワークの信頼されたユーザが危殆化したり、悪意のある外部の攻撃者が高度なアカウント乗っ取り技術によって資格情報を取得し、それらが悪用されることにより発生します。

ID窃盗は、一般的に資格情報の窃盗から始まり、その資格情報を使用してリソースへの不正アクセスを実行し、最終的にネットワーク全体の制御を獲得します。また、攻撃者は危殆化した非管理者ユーザを利用して、そのユーザが管理権限を持つリソースにアクセスし、そのユーザの特権を昇格させます。

盗まれた資格情報を使用する攻撃者は、リソースへのアクセス中に不審なネットワーク イベントをトリガーする可能性があります。不正な資格情報の使用を検知することは可能ですが、そのためには大量の正当なイベントの中から攻撃者のアクティビティを見分ける必要があります。NetWitness UEBAは、潜在的に悪意のあるアクティビティを、通常とは異なるものの、リスクのないユーザ アクションから分離するのを助けます。

次のユースケースは、特定のリスク タイプと、その検知に使用されるシステム機能を定義したものです。ユースケースのアラート タイプと説明を確認し、それぞれに関連づけられる高リスク行動について基本的な理解を得ることができます。NetWitness UEBAを使用すると、アラートからユーザの高リスク アクティビティの可能性を示すインジケータへとドリルダウンして、詳細を知ることができます。 NetWitness UEBAがサポートするインジケータの詳細については、「NetWitness UEBAインジケータ」を参照してください。

                                                                           
アラート タイプ説明
Mass Changes to Groups(グループに対する大量変更)グループに異常な数の変更が加えられました。どの要素が変更されたかを調査し、変更が正当であるか、あるいは高リスク行動や悪意のある行動の結果であるかを判断します。このアクティビティには通常、Multiple Group Membership Changesインジケータが関連づけられます。
Elevated Privileges Granted(権限昇格の承認)ユーザの権限の昇格が承認されました。攻撃者は、一般ユーザのアカウントを使用し、そのユーザ アカウントの権限を昇格して、ネットワークを悪用することがよくあります。権限の昇格が承認されたユーザを調査し、その変更が正当であるか、あるいは高リスク行動や悪意のある行動の結果であるかを判断します。このアクティビティには通常、Nested Member Added to Critical Enterprise GroupインジケータおよびMember Added to Critical Enterprise Groupインジケータが関連づけられます。
Multiple Failed Logons(複数のログオン失敗)従来のパスワード クラッキングでは、攻撃者は初期アクセスを得るために、推測または他のローテク技術を導入してパスワードを取得しようとします。攻撃者は、明示的に認証を試行するため、検知されたりロックアウトされるリスクがありますが、被害者のパスワード履歴について事前の知識があれば、認証に成功する可能性があります。このアカウントにアクセスを試行しているのがアカウントの所有者でないことを示す、その他の異常のインジケータを探します。このアクティビティには通常、Multiple Failed Authenticationsインジケータが関連づけられます。
User Logins to Multiple AD Sites(複数のADサイトへのユーザ ログイン)ドメイン コントローラには、ドメイン上のすべてのアカウントのパスワード ハッシュが格納されるため、攻撃者にとって価値の高いターゲットになります。更新およびセキュリティ保護が厳格に実行されていないドメイン コントローラは、攻撃や侵害を受けやすく、ドメイン全体の脆弱性を放置することになります。ユーザが複数のドメインの権限を持つ場合、親ドメインが侵害されたことを示している可能性があります。複数のサイト間のユーザ アクセスが正当なものであるか、あるいは潜在的な侵害を示しているかを判断します。このアクティビティには通常、Logged into Multiple Domainsインジケータが関連づけられます。
User Login to Abnormal Host(異常なホストへのユーザ ログイン)攻撃者は、多くの場合、リモート アクセスの使用などの他の機密性の高いアクティビティを実行するために、資格情報を再取得する必要があります。アクセス チェーンを逆方向にたどると、高リスク アクティビティに関与した可能性のある他のコンピュータの検知につながる可能性があります。攻撃者のプレゼンスが1つの侵害されたホストまたは多数の侵害されたホストに限定されている場合、そのアクティビティには、Abnormal Computerインジケータが関連づけられます。
Data Exfiltration(データ窃取)データ窃取とは、コンピュータまたはサーバからデータを不正にコピー、転送、または検索することです。データ窃取は、インターネットまたは他のネットワーク上のサイバー犯罪者によって、様々な技術を介して実行される悪意のあるアクティビティです。このアクティビティには、Excessive Number of File Rename EventsExcessive Number of Files Moved from File System、およびExcessive Number of Files Moved to File Systemのインジケータが関連づけられる可能性があります。
Mass File Rename(大量のファイル名変更)ランサムウェアとは、デスクトップおよびシステム ファイルを暗号化してアクセス不能にするマルウェアのことです。一部のランサムウェア(たとえば、「Locky」)は、感染初期にファイルの暗号化および名前変更を行います。この大量のファイル名の変更により、ファイル システムがランサムウェアに感染しているかどうかを判断します。このアクティビティには、Multiple File Rename Eventsインジケータが関連づけられます。
Snooping User(ユーザ スヌーピング)スヌーピングは、他のユーザまたは会社のデータへの不正アクセスです。スヌーピングは、他人のコンピュータ画面の電子メールをのぞき見したり、他人のキーボード入力を観察するなど、簡単な行為も含まれます。より高度なスヌーピングでは、ソフトウェア プログラムを使用して、コンピュータまたはネットワーク デバイス上のアクティビティをリモートで監視します。このアクティビティには、Multiple File Access EventsMultiple Failed File Access EventsMultiple File Open Events、およびMultiple Folder Open Eventsなどのインジケータが関連づけられる可能性があります。
Multiple Logons by User(ユーザによる複数ログオン)すべての認証アクティビティは、悪意があるかどうかに関係なく、通常のログオンとして記録されます。したがって、管理者は予期しない承認済みアクティビティを監視する必要があります。鍵となるのは、攻撃者が盗まれた資格情報を不正アクセスに使用している点であり、そうした不正アクセスが検知のチャンスになる可能性があります。アカウントが通常と異なるアクティビティ(たとえば、通常とは異なる回数の認証)に使用されている場合、アカウントが侵害されている可能性があります。このアクティビティには、Multiple Successful Authenticationsインジケータが関連づけられます。
User Logged into Multiple Hosts(ユーザによる複数ホストへの ログイン)攻撃者は通常、資格情報を定期的に再取得する必要があります。これは、パスワードの変更やリセットにより、盗まれた資格情報のキーチェーンが時間の経過とともに自然に劣化するためです。したがって、攻撃者はバックドアをインストールし、環境内の多くのコンピュータの資格情報を維持することによって、侵害された組織に対する足場を維持します。このアクティビティには、Logged onto Multiple Computersインジケータが関連づけられます。
Admin Password Change(管理者パスワードの変更)共有された長期間有効なシークレット(たとえば、特権アカウントのパスワードなど)は、プリント サーバからドメイン コントローラに至るあらゆるリソースにアクセスするために頻繁に使用されます。これらのアカウントを利用しようとする攻撃者を阻止するには、管理者によるパスワードの変更に細心の注意を払い、信頼されたメンバーによって変更されたこと、またそれに関連して他の異常な行動が発生していないことを確認します。このアクティビティには、Admin Password Changeインジケータが関連づけられます。
Mass Permission Changes(大量の権限変更)資格情報の窃盗手法(たとえば、Pass-the-Hash)には、対話的な2段階のプロセスを使用するものがあります。まず攻撃者は、揮発性メモリーとファイル システムの特権領域に対して、昇格された読み取り/書き込みアクセスの権限を取得します。この領域は、通常、少なくとも1台のコンピュータ上のシステム レベル プロセスからのみアクセス可能です。次に、攻撃者はネットワーク上の他のコンピュータへとアクセスの範囲を広げようとします。ファイル システムで異常な権限変更が行われていないかを調べ、攻撃者によって侵害されていないことを確認します。このアクティビティには、Multiple File Access Permission ChangesMultiple Failed File Access Permission Changes、およびAbnormal File Access Permission Changeなどのインジケータが関連づけられる可能性があります。
Abnormal AD Changes(異常なAD変更)攻撃者がActive Directoryドメインまたはドメイン コントローラへの高度な特権アクセスを取得した場合、それを利用して、フォレスト全体にアクセスし、制御、または破壊することができます。単一のドメイン コントローラが侵害され、攻撃者がADデータベースを変更した場合、その変更はドメイン内の他のすべてのドメイン コントローラにレプリケーションされ、変更されたパーティションによってはフォレストにもレプリケーションされます。ADの管理者および非管理者によって行われた異常な変更を調査して、ドメインに対する真の侵害の可能性を示しているかどうかを判断します。このアクティビティには、Abnormal Active Directory ChangeMultiple Account Management ChangesMultiple User Account Management Changes、およびMultiple Failed Account Management Changesのインジケータが関連づけられる可能性があります。
Sensitive User Status Changes(機密ユーザのステータス変更)ドメイン管理者やエンタープライズ管理者のアカウントは、悪意のある無しに関係なく、ドメイン内のすべてのリソースを制御する権限をデフォルトで備えています。こうした権限には、アカウントの作成や変更を始め、データの読み取り、書き込み、または削除、そしてアプリケーションのインストールや変更、さらにはオペレーティング システムを消去する権限も含まれます。これらのアクティビティの一部は、アカウントの自然なライフサイクルの一部としてトリガーされます。セキュリティ上重要なユーザ アカウントに対する変更を調査し、侵害されているかどうかを確認します。このアクティビティには、User Account EnabledUser Account DisabledUser Account UnlockedUser Account Type ChangedUser Account LockedUser Password Never Expires Option ChangedUser Password Changed by Non-OwnerUser Password Changeのインジケータが関連づけられる可能性があります。
Abnormal File Access(異常なファイル アクセス)機密ファイルへの不適切なアクセスや機密データの盗難を防ぐために、異常なファイル アクセスを監視します。ファイルの表示、変更、削除を選択的に監視することによって、攻撃によるものか、変更管理エラーによるものかに関係なく、機密ファイルに対する不正な変更の可能性を検知することができます。このアクティビティには、Abnormal File Access Event、およびMultiple File Delete Eventsのインジケータが関連づけられる可能性があります。
Non-Standard Hours(基準外の時間)すべての認証アクティビティは、悪意があるかどうかに関係なく、通常のログオンとして記録されます。したがって、管理者は予期しない承認済みアクティビティを監視する必要があります。鍵となるのは、攻撃者が盗まれた資格情報を不正アクセスに使用している点であり、そうした不正アクセスが検知のチャンスになる可能性があります。通常とは異なる回数の認証など、アカウントが異常なアクティビティに使用されている場合、アカウントが侵害された可能性があります。異常な時間のアクティビティから、アカウントが外部アクターによって乗っ取られたかどうかを判断します。このアクティビティには、Abnormal File Access TimeAbnormal Active Directory Change TimeAbnormal Logon Timeのインジケータが関連づけられる可能性があります。
Previous Topic:概要
You are here
Table of Contents > NetWitness UEBAインジケータ

Attachments

    Outcomes