事業体概要

UEBA 5.x UEBA を起動すると、環境内の危険なエンティティも監視するようになった。 エンティティとは、データベース・サーバー、ファイアウォール、エンドポイントなどのデバイスや資産のことである。

UEBA は、IPアドレス、ホスト名、脆弱性スコア(サポートされているスキャナデータが接続されている場合)などの資産情報を検出し、維持する資産データベースコンポーネントを使用しています。 資産が最新であることを確認するには、エンティティのチューニングのセクションを参照してください。

UEBA ダッシュボードに監視ユーザーと 監視エンティティが表示されるようになりました。

ダッシュボードの一番上のパネルには、環境内の総監視対象エンティティと総ハイリスク・エンティティが表示される。

UEBAダッシュボード

監視対象エンティティウィジェットは、エンティティ固有の情報を追加し、危険なデバイスのIPアドレス、ホスト名、リンクされたユーザ、最近のリスク、およびそれらの危険なデバイスの全体的なリスクをすばやく表示します。

監視対象団体

団体犯罪

エンティティまたはデバイスのリスクが設定されたしきい値を超えた場合、UEBAはさらなる調査のために「違反」を生成する。

ダッシュボードの違反ウィジェットに、ユーザーまたはエンティティの違反を選択するドロップダウンメニューが追加されました。

最新のオフェンス

リスク・エンティティの概要

UEBAダッシュボードのエンティティをクリックすると、以下の情報が表示されます。

  • 全体的なリスク
  • 過去30分間に検出された異常
  • リンクされたユーザー

エンティティーの詳細

View entity details をクリックすると、エンティティの詳細を表示できます。

  • IP アドレス
  • ホスト名
  • MAC アドレス
  • 場所
  • リンクされたユーザー
  • 脆弱性の数
  • 脆弱性リスクスコア

サポートされている VA スキャナデータが QRadar に接続されると、脆弱性カウントと脆弱性リスク スコアが表示されます。

さらに詳しく調査するためにドリルダウンするために、エンティティのタイムラインが提供されている。

エンティティーの詳細

エンティティの検索

UEBA ダッシュボードの検索バーを使用して、 UEBA の監視対象エンティティを検索できます。

検索バー