UEBA:概要

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • View in full screen mode

RSA NetWitness UEBA(User and Entity Behavior Analytics)は、ネットワーク環境のすべてのユーザとエンティティから危険な行動を検知し、調査、監視するための高度な分析ソリューションです。NetWitness UEBAは次の機能を提供します。

  • 悪意のあるユーザや不正ユーザの検知
  • リスクの高い行動の特定
  • 攻撃の発見
  • 新しいセキュリティ脅威の調査

注:標準でサポートされているのはWindowsのログのみです。さらにログ ソースを追加して、既存のモデルにデータを入力することができます。詳細については、「サポートされているログ ソース」を参照してください。

NetWitness UEBAは、NetWitness Platform Logsの既存のデータを活用し、組織のSOC管理者やアナリストにサイバー脅威を低減するための洞察や調査機能を提供します。

このガイドは、アナリストやSOC管理者向けに設計されており、すべてのNetWitness UEBA機能を使用するための情報や手順を提供します。主要な調査方法、主なシステム機能、一般的なユース ケース、推奨されるワークフローの詳細な手順について説明します。

NetWitness UEBAの仕組み

NetWitness UEBAは、ログ データの分析によって異常を検知し、そこから行動の結果を導き出します。 次の図に示すように、このプロセスには5つの基本的な手順があります。

Flow diagram describing how UEBA gathers data and displays results

次の表は、各手順の簡単な説明です。

                                      
ステップ説明詳細情報
1. ログ データの取得 NetWitness UEBAは、NetWitness Platformデータベース(NWDB)からログ データを取得し、そのデータを使用して分析結果を作成します。ログ データの取得」を参照
2. ベースラインの作成ベースラインは、通常のユーザの行動を詳細に分析した結果から生成され、ユーザの従来の行動との比較を行うための基準として使用されます。ベースラインの作成 」を参照
3. 異常の検知異常とは、ユーザの通常のベースライン行動からの逸脱を意味します。NetWitness UEBAは統計分析を実行して、新しいアクティビティをベースラインと比較します。予期されるベースライン値から逸脱しているユーザのアクティビティには、逸脱の重大度を反映したスコアが付けられます。異常の検知」を参照
4. アラートの生成ステップ3で見つかったすべての異常は、時間毎のバッチにグループ化されます。各バッチには、インジケータの構成の特異性に基づいてスコアが付けられます。インジケータの構成が、そのユーザの過去の毎時バッチの構成と比較して特異な場合は、現在のバッチがアラートに変換される可能性があります。アラートの生成」を参照
5. 高リスク行動のユーザに対する優先度の設定NetWitness UEBAは、シンプルなスコア加算により、各ユーザの潜在的なリスクを設定します。各アラートには、重大度が割り当てられており、重大度ごとにユーザのスコアに加算すべきポイント数が定義されています。高スコアのユーザには、複数のアラートが関連付けられているか、重大度の高いアラートが関連付けられています。高リスク行動のユーザに対する優先度の設定」を参照

ログ データの取得

NetWitness UEBAサーバは、BrokerまたはConcentratorサービスに接続して、ログ データを取得します。Broker専用サーバを導入していない場合は、NetWitness Platform Adminサーバ上のBrokerサービスを使用できます。NetWitness UEBAのインストール時に、管理者はBrokerサービスのIPアドレスを指定します。

詳細については、NetWitness Platform 11.2 物理ホスト インストール ガイドにある「(オプション)タスク 2 - NetWitness UEBAのインストール」のトピックを参照してください。

ベースラインの作成

NetWitness UEBAは、機械学習によって、ログ データのストリームに含まれているユーザのアクションを様々な側面から分析し、各ユーザの標準的行動について多角的なベースラインを徐々に構築します。たとえば、ベースラインには、ユーザが通常ログオンする時間に関する情報が含まれる場合があります。

また、ネットワーク全体で見られる一般的なアクティビティを記述するために、グローバル レベルでの行動ベースラインも作成されます。あるユーザの作業時間が異常であっても、組織全体にとっては異常ではない場合は、誤検知削減アルゴリズムによりアラート スコアへの影響度は減少します。

モデルは頻繁に更新され、時間の経過とともに絶えず改善されていきます。

注:NetWitness UEBAは、ネットワーク内のすべてのユーザに適切なベースラインを作成するために、28日間の履歴ログ データを必要とします。ただし、RSAでは、ベースラインの作成開始日をNetWitness UEBAの導入の2ヶ月前<today-60days>に設定することを推奨します。最初の28日間はモデルのトレーニングに使用され、スコアは計算されません。残りの32日間で、モデルの改善と更新が行われ、初期値のスコアも計算されます。

注:バージョン11.2では、複数ドメイン環境のサポートは制限されています。異なるドメインに登録されている個別のユーザ名の値は、正規化され、1つのモデル化エンティティに一体化されます。その結果、異なるドメインに同じユーザ名を持つ別々のユーザが存在する場合、1つの正規化されたエンティティとして不正に処理されます。

異常の検知

環境内のすべてのユーザの行動ベースラインを確立した後、受信する各イベントはベースラインと比較され、新しい行動が異常かどうか、特にベースラインから大幅に逸脱していないかを判断するスコアが計算されます。たとえば、ユーザの通常の勤務時間が9:00 AM~5:00 PMの場合、6:00 PMまたは7:00 PMに発生した新しいアクティビティは大きな逸脱ではなく、おそらく異常を示すスコアにはなりません。ただし、深夜に発生した認証は大幅な逸脱であり、異常を示すスコアが割り当てられます。

異常が検知された場合は、侵害インジケータ(UIではインジケータとして表示)に変換されます。NetWitness UEBAでは、不審なユーザ ログオン、ブルートフォース パスワード攻撃、異常なユーザ変更、異常なファイル アクセスなど、検証された異常なアクティビティを定義するためにインジケータを使用します。インジケータは、1つのイベントで見つかった異常を表す場合と、バッチ処理に含まれる複数のイベントから見つかった異常を表す場合があります。

アラートの生成

検知されたすべての異常は、ユーザ名および毎時間のバッチにグループ化されます。各バッチには、インジケータの構成の特異性に基づいてスコアが付けられます。構成がユーザの履歴と比較して特異な場合は、このバッチはアラートに変換され、異常はインジケータに変換される可能性があります。異常のスコアが高いバッチは、アラートになり、そのアラートには検証された侵害インジケータが含まれます。

たとえば、1つの異常なアクティビティは、それが大企業の環境で1日に何百回発生したとしても、アカウントの侵害を反映するとは限りません。ですが、1つの異常な行動が、種類の異なる多くの異常な行動と同時に発生している場合は、アカウントの侵害を示している可能性があります。次の3つの行動が同時に発生している場合は、さらに分析が必要となる可能性があります。

  • 異常なコンピュータからの認証
  • 短期間に複数の認証試行

  • このユーザにより会社のファイル共有から複数のファイルが削除

注:ベースラインが確立されるまでアラートが生成されないため、NetWitness UEBAユーザ インフェースには、最初は何も表示されない可能性があります。NetWitness UEBAを有効化したときに履歴監査データが存在しない場合、システムは導入された時点からベースラインの生成を開始し、新しいアラートの生成が開始されるまで、28日間待つ必要があります。NetWitness UEBAを有効化したときに履歴監査データが存在する場合、履歴データの処理が終了するとアラートが表示されます(通常は2~4日以内)。

高リスク行動のユーザに対する優先度の設定

ユーザ スコアは、インシデントの優先度を判断する主要なツールです。ユーザ スコアは、ユーザのアラートを単純に加算して計算されます。アラートとアナリストのフィードバックのみが、ユーザ スコアの計算の要因となります。スコアへの影響は、アラートの重大度レベルによって決まります。

ユーザとアラートのスコアには、同じ色が使用されます。

                                 
重大度スコア
クリティカル+20
オレンジ+15
+10
+1

サポートされているログ ソース

NetWitness UEBAは、次のWindowsログ ソースを標準でサポートしています。

  • Windows Active Directory
  • Windowsログオンおよび認証アクティビティ
  • Windowsファイル サーバ

推奨されるワークフロー

NetWitness UEBAを最も効果的に使用するには、検知ワークフローとフォレンジック ワークフローという2つのワークフローに従います。

検知ワークフロー

検知ワークフローでは、環境の正常性の概要を把握し、[OVERVIEW]タブに表示される上位の高リスク ユーザとアラートを調査することに重点を置きます。

次のフローチャートは、環境内の不審な行動の検知を開始する手順を示しています。

Flow diagram of UEBA detection workflow

次の表は、ワークフローの各手順について説明しています。

                                 
ステップ 説明手順
上位5人のユーザまたは上位10件のアラートを表示する[OVERVIEW]タブで、最も高リスクな行動を取っているユーザと、最もクリティカルなアラートを確認します。高リスク ユーザの調査上位アラートの調査
ユーザとアラートの詳細を調査するリスクのあるユーザの行動とクリティカルなアラートに関する詳細情報を掘り下げて、これらのアクションの原因と解決方法を判断します。高リスク ユーザの調査インジケータの調査
調査の結果を判断する前の手順でユーザ インタフェースに表示されたサマリ情報を分析し、見つかった問題を解決するために重点を置く領域を特定します。高リスク ユーザの特定インジケータの調査
見つかった問題を解決するためのアクションを実行対処する特定のユーザの行動やイベントを絞り込み、この調査結果を、将来の調査の改善に役立てます。高リスク ユーザに対するアクション

フォレンジック ワークフロー

環境内の標準的なユーザの行動と異常について理解した後は、フォレンジック ワークフローが推奨されます。このワークフローでは、ユーザの行動に基づく特定のフォレンジック情報、または不審なイベントが発生した特定の期間に焦点を当てる場合に役立ちます。

フォレンジック情報を使用すると、アナリストは、次のような質問によって、攻撃者が試行する可能性のあるアクションや行動を判断できます。

  • すべての侵入に共通する基本的な技術や行動は何か?
  • これらの技術はどのような証拠を残しているか?
  • 攻撃者は何をしているか?
  • 自社のアカウントとエンティティの通常の行動はどのようなものか?
  • 自社の機密性の高いマシンと、それらの設置場所はどこか?

次のフローチャートは、特定のユーザの行動に基づくフォレンジック情報、または不審なイベントが発生した特定の期間を調査する方法を示しています。

Flow diagram of Forensic workflow.

次の表は、ワークフローの各手順について説明しています。

                                      
ステップ 説明手順
自社環境の予期される行動と異常を把握する正常な行動、予期される異常、予期されない異常のベースラインを確立し、自社環境にとって重大な異常に焦点を当てることができるようにします。ログ データの取得異常の検知アラートの生成
特定の行動について上位スコアを持つユーザを調査する特定の行動について高いスコアを持つユーザを選択し、詳細情報を収集します。高リスク ユーザの調査インジケータの調査
特定の期間に発生するアラートを調査する関心のある期間を決定し、[ALERTS]タブでその期間を選択して、期間中に発生したアラートに関する詳細情報を表示します。インジケータの調査
調査の結果を判断する予期されるユーザの行動に関する知識に基づいて、指定した期間中に表示されているインジケータに注目し、検知された異常を解決する必要があるかどうかを判断します。インジケータの調査高リスク ユーザの特定
見つかった問題を解決するためのアクションを実行対処する特定のユーザの行動やイベントを絞り込み、この調査結果を、将来の調査の改善に役立てます。高リスク ユーザに対するアクション

NetWitness UEBAへのアクセス

注: NetWitness UEBAサービスと[Users]タブにアクセスするには、UEBA_AnalystロールまたはAdministratorsロールのいずれかが割り当てられている必要があります。これらのロールの割り当て方法については、『システム セキュリティとユーザ管理ガイド』の「ロール ベースのアクセス制御の仕組み」のトピックを参照してください。また、適切なNetWitness UEBAライセンスを構成する必要があります。NetWitness UEBAのライセンスについては、『ライセンス管理ガイド』の「UEBAのライセンス」のトピックを参照してください。

NetWitness UEBAにアクセスするには、NetWitness Platformにログインし、[調査][Users]に移動します。[Users]ビューが表示されます。このビューには、すべてのNetWitness UEBA機能が含まれます。

Users view, Overview tab

You are here
Table of Contents > 概要

Attachments

    Outcomes