プロセスの概要
UEBA アプリケーションは、 QRadar® システムと連携して、ネットワーク内のユーザーに関するデータを収集します。

UEBA の動作
- ログは QRadarにデータを送信します。
- UEBA 固有のルールは、(どの UEBA ルールが有効になっているかに応じて) 特定のイベントを探し、 UEBA アプリケーションによって読み取られる新しいセンス・イベントをトリガーします。
- UEBA ルールは、イベントにユーザー名とその他のテストがあることを必要とします (ルールを確認して、何を探しているかを調べます)。
- UEBA は、リファレンス・テーブルから senseValue をプルし、センス・イベントからユーザー名をプルしてから、そのユーザーの リスク・スコア を senseValue の量だけ増やします。
- ユーザーの リスク・スコア が UEBA の「設定」ページで設定したしきい値を超えると、 UEBA は「UBA: Create Offense」ルールをトリガーするイベントを送信し、そのユーザーに対してオフェンスが作成されます。
リスク・スコア
リスク・スコアは、 UEBA ルールによって検出されたすべてのリスク・イベントの合計です。 リスク・スコアが大きいほど内部ユーザーがセキュリティー上のリスクとなる可能性が高く、ユーザーのネットワーク・アクティビティーをさらに審査する必要があります。 新しいイベントが発生しない場合、リスク・スコアは時間の経過につれて減少します。 削減額は、 UEBA の「設定」ページの 「1 時間当たりのこの係数によるリスクの減衰」 の値から制御されます。
senseValue を使用してユーザー・リスク・スコアが作成される仕組み
ルールと分析のそれぞれには、検出された問題の重大度を示す値が割り当てられます。 ユーザーのアクションによってルールがトリガーされるたびに、そのユーザーのリスク・スコアには、この値が追加されます。 ユーザーがルールに「違反」するたびに、スコアが高くなっていきます。
ルールとセンス・イベント
ルールがトリガーされると、ルールによってセンス・イベントが生成され、そのセンス・イベントを使用してユーザーのリスク・スコアが決定されます。
QRadar 内の既存のルールを更新して、センス・イベントを生成することができます。 詳しくは、 新規または既存の QRadar コンテンツと UEBA アプリの統合をご覧ください。
Machine Learning Analytics およびセンス・イベント
Machine Learning Analytics アプリをインストールし、機械学習分析を有効にして、異常なユーザー動作を識別することができます。 分析がトリガーされると、それによってセンス・イベントが生成されます。また、生成されたセンス・イベントによって、ユーザーのリスク・スコアも増加されます。