プロセスの概要

UEBA アプリケーションは、 QRadar® システムと連携して、ネットワーク内のユーザーに関するデータを収集します。

プロセスの概要図

UEBA の動作

  1. ログは QRadarにデータを送信します。
  2. UEBA 固有のルールは、(どの UEBA ルールが有効になっているかに応じて) 特定のイベントを探し、 UEBA アプリケーションによって読み取られる新しいセンス・イベントをトリガーします。
  3. UEBA ルールは、イベントにユーザー名とその他のテストがあることを必要とします (ルールを確認して、何を探しているかを調べます)。
  4. UEBA は、リファレンス・テーブルから senseValue をプルし、センス・イベントからユーザー名をプルしてから、そのユーザーの リスク・スコアsenseValue の量だけ増やします。
  5. ユーザーの リスク・スコアUEBA の「設定」ページで設定したしきい値を超えると、 UEBA は「UBA: Create Offense」ルールをトリガーするイベントを送信し、そのユーザーに対してオフェンスが作成されます。

リスク・スコア

リスク・スコアは、 UEBA ルールによって検出されたすべてのリスク・イベントの合計です。 リスク・スコアが大きいほど内部ユーザーがセキュリティー上のリスクとなる可能性が高く、ユーザーのネットワーク・アクティビティーをさらに審査する必要があります。 新しいイベントが発生しない場合、リスク・スコアは時間の経過につれて減少します。 削減額は、 UEBA の「設定」ページの 「1 時間当たりのこの係数によるリスクの減衰」 の値から制御されます。

senseValue を使用してユーザー・リスク・スコアが作成される仕組み

ルールと分析のそれぞれには、検出された問題の重大度を示す値が割り当てられます。 ユーザーのアクションによってルールがトリガーされるたびに、そのユーザーのリスク・スコアには、この値が追加されます。 ユーザーがルールに「違反」するたびに、スコアが高くなっていきます。

ルールとセンス・イベント

ルールがトリガーされると、ルールによってセンス・イベントが生成され、そのセンス・イベントを使用してユーザーのリスク・スコアが決定されます。

QRadar 内の既存のルールを更新して、センス・イベントを生成することができます。 詳しくは、 新規または既存の QRadar コンテンツと UEBA アプリの統合をご覧ください。

Machine Learning Analytics およびセンス・イベント

Machine Learning Analytics アプリをインストールし、機械学習分析を有効にして、異常なユーザー動作を識別することができます。 分析がトリガーされると、それによってセンス・イベントが生成されます。また、生成されたセンス・イベントによって、ユーザーのリスク・スコアも増加されます。