IBM Security QRadar SIEMでのユーザー振る舞い分析
内部脅威に対する可視性を高め、異常な振る舞いを発見し、リスクの高いユーザーを容易に特定して、有益な洞察を素早く生成します。
デモに関するお問い合わせ
オフィスのホワイトボードに書く人
資格情報侵害やラテラル・ムーブメントなどの悪質な振る舞いを検知

The IBM Security® QRadar® SIEM User Behavior Analytics(UBA)アプリケーションは、従業員の振る舞いパターンのベースラインを確立することで、組織に対する脅威をより正確に検知します。QRadar SIEM内の既存データを利用して、ユーザーとリスクに関する新たな洞察を生成します。

ネットワーク内のユーザーのリスク・プロファイルを確立することで、個人情報の盗難、ハッキング、フィッシング、マルウェアなどの疑わしいアクティビティーへの対応を加速できます。

UBAの詳細はこちら
UBAでフィッシングなどの攻撃からデータを保護

ユーザーの正常な振る舞いと異常な振る舞いを区別して脅威を阻止します。

41%

ネットワーク感染の41%はフィッシングが原因¹

50%超

フィッシング攻撃の50%超がスピア・フィッシング技術を使用しています。¹

100%

X-Force®脅威検知ソフトウェアの観察によると、月次の脅威ハイジャック試行数は倍増しています。3

要項

攻撃者が誰かになりすまし、既存のEメールでの会話を不正な目的に悪用するフィッシングは、2年連続で主要な感染ベクトルとなりました。感染を阻止するためには、ユーザーの通常の振る舞いを理解し、異常に素早く気づくことが重要です。UBAアプリケーションにユーザー・インポート・ウィザードでユーザーを追加し、このアプリケーションを使用してリスク評価と統合ユーザーIDをQRadar SIEMに追加できます。

ユーザー・インポート・ウィザード

ユーザー・インポート・ウィザードを使用すると、ユーザーとそのデータをUBAアプリケーションから直接インポートできます。さらに、LDAP サーバー、アクティブ・ディレクトリー・サーバー、参照テーブル、CSVファイルからのインポートも可能です。ウィザードはカスタム属性の作成にも使用できます。

リスク評価

インシデントの重大度と信頼性に応じてさまざまなセキュリティー・ユース・ケースにリスクを割り当て、QRadar®システム内の既存のイベント・データとフロー・データを使用して、リスク・プロファイルを作成します。リスク・プロファイルには、ユーザーが有害なWebサイトや侵害されたWebサイトにアクセスした場合などの単純なルールに加え、機械学習を使用するステートフル分析を含めることもできます。

統一のユーザーID

QRadarユーザーの異なるアカウントを組み合わせて、統一ユーザーIDを構築します。アクティブ・ディレクトリー、LDAP、参照テーブル、CSVファイルからデータをインポートすることで、各ユーザーに属するアカウントをUBAアプリケーションに学習させることができます。UBAアプリケーションのさまざまなユーザー名間でリスクとトラフィックを組み合わせるためにもこれが役立ち、より適切なユーザーのアクション監視と攻撃の防止につなげることができます。

含まれる機能
機械学習アドオン

UBAアプリケーションを強化する機械学習アドオンでユースケースを充実・深化させ、時系列でのプロファイリングとクラスタリングを実行できます。機械学習は、学習した動作(モデル)、現在の動作、アラートを表示する既存のUBAアプリケーションの視覚化に追加され、QRadarの履歴データを使用し、対象ユーザーにとって正常な振る舞いの予測モデルとベースラインを作成します。

機械学習分析の詳細はこちら

ルールと調整

UBAルールの内容はアプリ構成後にインストールされ、QRadarユース・ケース・マネージャー・アプリで編集できます。ユーザーのリスクを測定するルールがUBAルール・データ・テーブルに追加されます。UBAルールおよび調整機能を使用して、QRadar SIEMが会社やデータの保護を保つために使用するパラメーターを決定できます。

ルールと調整の詳細はこちら

一人の従業員がリンクをクリックして認証情報を入力し、添付ファイルを開くだけでも、組織全体の侵害につながります Stephanie “Snow” Carruthers Chief People Hacker IBM Security® X-Force® Red

FAQ

はい。QRadar SIEMコンソールで実行される場合、UBAアプリケーションには最小64GB、最大128GBのメモリーが必要です。また、機械学習アプリケーションを有効にしてQRadar SIEMアプリケーションを実行するメリットを十分に活用するために、アプリケーション・ホストの導入をご検討ください。

UBAは、既存のユーザー・インターフェースとデータベースを使用してQRadar SIEMに直接統合されます。企業全体のセキュリティー・データは全て、従来通り一元保管できます。アナリストは既存のSIEMシステムの一部としてルールの調整やレポートの生成、データの連結を実施できます。

UBAはQRadar SIEMやNDRと同じ基礎データベースを共有しているため、QRadar SIEMに取り込まれた全てのデータ・ソースはUBAで表示および利用できます。

UBAは、ユーザーのID情報を取り込んで結合するLDAPアプリケーション、データと分析を可視化するUBAアプリケーション、ユーザー・アクティビティーの行動モデルを作成するために使用される機械学習アルゴリズムのライブラリーを提供する機械学習アプリケーションという3つのアプリケーションをまとめてパッケージされています。

異常検知は、予想と外れた振る舞いをし、大多数のデータとは著しく異なる、普通でないパターンを識別するために使用される技術です。UBAは、ユーザーおよび類似ユーザー(ピア)のイベントから通常の振る舞いのベースラインを構築し、このベースラインを使用して異常な振る舞いを検知します。

リスク・スコアとは、ユーザーのアクティビティーの潜在的な有害度を示す数値です。UBAが検知した異常な振る舞いはそれぞれ、個々のユーザーのリスク・スコアに影響します。

異常検知は、予想と外れた振る舞いをし、大多数のデータとは著しく異なる、普通でないパターンを識別するために使用される技術です。UBAは、ユーザーおよび類似ユーザー(ピア)のイベントから通常の振る舞いのベースラインを構築し、このベースラインを使用して異常な振る舞いを検知します。

リスク・スコアとは、ユーザーのアクティビティーの潜在的な有害度を示す数値です。UBAが検知した異常な振る舞いはそれぞれ、個々のユーザーのリスク・スコアに影響します。

機械学習アルゴリズムはインストール時にQRadarのデータベースから過去4週間のデータを取り込み、1週間以内に正常な振る舞いのモデルを作成します。

UBAアプリケーションは、IBM Security® QRadar® SaaS、ソフトウェア、またはクラウド上に導入できます。

UBAアプリケーションは、QRadarのお客様に追加コストなしで提供されます。

IBMサポートには、緊急性の高い問題に対応できる専任のスタッフがいます。UBAアプリケーションには、LDAP、UBA、機械学習分析の各アプリケーションを使用するためのヘルプとサポートのセクションが組み込まれています。

全てのQRadarアプリケーションやモジュールと同じく、データは保存時に暗号化されます。

資料

内部脅威からの貴重なデータと資産の保護にQRadar SIEM UBAアプリケーションが役立つ方法の詳細はその他の資料を参照してください。

QRadar SIEM User Behavior Analytics(UBA)技術資料はこちら
次のステップ

QRadar SIEMのデモをリクエストして、ユーザー振る舞い分析ツールが会社をサイバー脅威から保護する方法をご覧ください。

デモに関するお問い合わせ
その他の参考情報 資料 サポート コミュニティー パートナー 参考情報