UEBA:高リスク ユーザの調査

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • View in full screen mode

ユーザ スコアは、アラートのスコアとアラートの重大度に基づいて計算されます。ユーザ スコアを使用すると、最優先で注意が必要なユーザを特定し、さらに詳細な調査を行い、必要なアクションを実行できます。高リスク ユーザは、[OVERVIEW]タブまたは[USERS]タブのいずれかで確認できます。

次の図は、[OVERVIEW]タブに表示された上位5人の高リスク ユーザの例を示しています。

Users view, Overview tab

次の図は、[USERS]タブに表示された環境内のすべての高リスク ユーザの例を示しています。

High-risk users view

次の手順は、環境内の高リスク ユーザを調査する手順の概要です。

  1. 高リスク ユーザを特定します。高リスク ユーザは、次の方法で確認できます。
    • OVERVIEW]タブには、環境内の上位5人の高リスク ユーザが表示されます。リストから、重大度の高いユーザまたはユーザ スコアが100を超えるユーザを特定します。
    • USERS]タブには、環境内のすべての高リスク ユーザが、リスク スコア順に表示されます。リスクがクリティカル、高、中に設定されているユーザ数を確認するか、フォレンジック調査に基づき、悪意のあるユーザの行動を特定し、行動フィルタを使用してユースケース指向のターゲット ユーザ リストを作成します。さらに、さまざまな種類のフィルタ(リスク、管理者、ウォッチリスト)を使用して、高リスク ユーザのグループを絞り込むことができます。

    注:調査では、主に重大度がクリティカル、高、中のユーザに焦点を当てるようにします。通常、低スコアのユーザに多くの時間をかけて調査する必要はありません。

    高リスク ユーザに関連付けられているアラート数にカーソルを合わせると、どのようなアラートなのかをすばやく確認し、調査の必要があるかどうかを判断できます。

    注:アラート数が多ければ、最高スコアになるとは限りません。アラートの中には、全体的なユーザ スコアには少ししか影響しないものがあります。ただし、アラート数が多いほど、高スコアの原因となったアクティビティのタイムラインをより明確に把握できます。

    詳細については、「高リスク ユーザの特定」のトピックを参照してください。

  2. User Profile]ビューで、ユーザのアラートとインジケータを調べます。
    1. ユーザに関連付けられているアラートのリストを確認し、重大度でソートし、各アラートのアラート スコアを確認します。
    2. アラート名を展開して、脅威のストーリーを特定します。最もスコアに貢献したインジケータによって、アラートの名前が決定されるため、この時間のバッチにアラートのフラグが設定された理由を想定できます。
    3. アラート フローのタイムラインを使用して、異常なアクティビティを把握します。
    4. アラートに関連付けられている各インジケータを確認して、異常が発生したタイムラインなど、インジケータに関する詳細を調査します。また、SIEM、ネットワーク フォレンジックなどの外部リソースを使用したり、ユーザや管理職などに直接連絡を取って、インシデントをさらに調査することができます。

    詳細については、「高リスク ユーザの調査の開始」のトピックを参照してください。

  3. 調査が完了したら、観察した内容を次のように記録することができます。

    1. アラートがリスクでない場合は、リスクでないと指定する

    2. 発見したユースケースの行動プロファイルを保存する

    3. ユーザ アクティビティを今後も追跡したい場合は、ユーザをウォッチリストに追加し、ユーザ プロファイルを追跡する

    詳細については、「高リスク ユーザに対するアクション」のトピックを参照してください。

You are here
Table of Contents > 高リスク ユーザの調査

Attachments

    Outcomes