QRadar User Entity Behavior Analytics

IBM® QRadar® User Entity Behavior Analytics アプリは、ネットワーク内のユーザーとエンティティのリスクプロファイルを決定し、アプリが脅威的な行動を警告したときに行動を起こすのに役立ちます。

QRadar User Entity Behavior Analytics (UEBA) アプリケーションは、組織内の内部関係者の脅威を検出するためのツールです。 アプリのフレームワークの上に構築され、 QRadar の既存のデータを使用して、ユーザーとエンティティのリスクに関する新しい洞察を生成します。 UEBA QRadarユーザーとエンティティのリスク、そして統一されたユーザーIDである。

リスク・プロファイル作成を行うには、リスクをさまざまなセキュリティー・ユース・ケースに割り当てます。 例えば、不正な Web サイトなどに関する単純なルールおよびチェックや、機械学習を利用するより高度なステートフル分析などがあります。 リスクは、検出されたインシデントの重大度と信頼性に応じてそれぞれのユース・ケースに割り当てられます。 UEBA は、 QRadar システム内の既存のイベント・データおよびフロー・データを使用して、これらの洞察を生成し、ユーザーのリスクのプロファイルを作成します。

UEBA は、 UEBA を強化し、より多くのユース・ケースでリスクのプロファイルを作成できるようにする 3 つのタイプのトラフィックを使用します。 3 つのタイプは以下のとおりです。
  1. アクセス、認証、およびアカウント変更に関するトラフィック。
  2. ネットワーク上でのユーザー動作。そのため、プロキシー、ファイアウォール、IPS、および VPN などのデバイスが該当します。
  3. エンドポイントおよびアプリケーションのログ (Windows または Linux®、 SaaS アプリケーションなど)。

ユーザー・アイデンティティーの統一は、QRadar 内の 1 ユーザーに対する複数の異なるアカウントを結合することで実現します。 Active Directory、LDAP サーバー、リファレンス・テーブル、または CSV ファイルからデータをインポートすることで、ユーザー ID に属するアカウントを UEBA に認識させることができます。 これにより、 UEBAでさまざまなユーザー名のリスクとトラフィックを組み合わせることができます。

Machine Learning (ML app) は、 UEBA アプリケーションを拡張するアドオン・ツールです。 これを利用すると、時系列のプロファイル作成とクラスター化を実現する、より高度かつ詳細なユース・ケースが得られます。 これは、 UEBA アプリケーション内の Machine Learning 設定ページにインストールされます。 ML app は、学習動作 (モデル)、現在の動作、およびアラートを示す視覚化を既存の UEBA アプリケーションに追加します。 QRadar 内の 4 週間より長い期間の履歴データを使用してユーザーの予測モデルを作成でき、さらにそのユーザーにとって何が通常どおりであるかを示すベースラインも作成できます。

ML appの使用について詳しくは、 Machine Learning Analytics アプリを参照してください。

ユーザーおよびユーザー・データのインポート

「ユーザーのインポート」ウィザードを使用してユーザーおよびユーザー・データをインポートできます。 「ユーザーのインポート」ウィザードは、LDAP サーバー、Active Directory サーバー、リファレンス・テーブル、および CSV ファイルからユーザーをインポートするのに役立ちます。 ユーザー・インポート・ウィザードを使用してカスタム属性を作成することもできます。

ユーザー・インポート・ウィザードを使用したユーザー・データのインポートについて詳しくは、 ユーザー・インポートの構成を参照してください。

ルールおよびチューニング

UEBAでのルールとチューニングに関する以下の重要な情報を考慮してください。
  • UEBA ルール・コンテンツは、アプリケーションの構成後にインストールされます。
  • ルールは QRadar Use Case Manager アプリケーションで編集する必要があります
  • ユーザーのリスク・スコアを生成するルールは、「UBA : ルール・データ (UBA : Rule Data)」テーブルに追加されます。 リスク・スコアを生成しないビルディング・ブロックおよびルールは追加されません。
  • ユーザーが作成した、イベントの説明に「senseValue=#」が含まれる新規ルールを追加するポーリング・タスクが実行されます。
  • 既存のルールは編集しないでください。 コピーを作成し、eventname も変更する必要があります。

詳しくは UEBAアプリのルールとチューニングをご覧ください。

ブラウザー規格適合

UEBA は、Google Chrome および Mozilla Firefox でサポートされます。
注: UEBAを最大限に活用するには、以下のいずれかを行う必要があります。
  • ブラウザーのポップアップ・ブロッカーを無効にする
  • QRadar Console IP アドレスからのポップアップの例外を許可するようにブラウザーを構成します。