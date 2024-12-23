IBM QRadar SIEM User Behavior Analytics（UBA）アプリケーションは、従業員の振る舞いパターンのベースラインを確立することで、組織に対する脅威をより正確に検知します。QRadar SIEM内の既存データを利用して、ユーザーとリスクに関する新たな洞察を生成します。
ネットワーク内のユーザーのリスク・プロファイルを確立することで、個人情報の盗難、ハッキング、フィッシング、マルウェアなどの疑わしいアクティビティーへの対応を加速できます。
ユーザーの正常な振る舞いと異常な振る舞いを区別して脅威を阻止します。
ネットワーク感染の41%はフィッシングが原因です。1
フィッシング攻撃の50%超はスピア・フィッシング技術を使用したものです。¹
X-Force脅威検知ソフトウェアの観察によると、1カ月あたりの脅威ハイジャック試行数は倍増しています。3
攻撃者が誰かになりすまし、既存のEメールでの会話を不正な目的に悪用するフィッシングは、2年連続で主要な感染ベクトルとなりました。感染を阻止するためには、ユーザーの通常の振る舞いを理解し、異常に素早く気づくことが重要です。ユーザー・インポート・ウィザードでユーザーを追加し、 UBAを使ってリスク評価と統合ユーザーIDをQRadar SIEMに追加できます。
ユーザー・インポート・ウィザードを使用すると、ユーザーとそのデータをUBAアプリケーションから直接インポートできます。さらに、LDAP サーバー、アクティブ・ディレクトリー・サーバー、参照テーブル、CSVファイルからのインポートも可能です。ウィザードはカスタム属性の作成にも使用できます。
インシデントの重大度と信頼性に応じてさまざまなセキュリティー・ユースケースにリスクを割り当て、QRadarシステム内の既存のイベント・データとフロー・データを使用して、リスク・プロファイルを作成します。リスク・プロファイルには、ユーザーが有害なWebサイトや侵害されたWebサイトにアクセスした場合などの単純なルールに加え、機械学習を使用するステートフル分析を含めることもできます。
QRadarユーザーの異なるアカウントを組み合わせて、統一ユーザーIDを構築します。アクティブ・ディレクトリー、LDAP、参照テーブル、CSVファイルからデータをインポートすることで、各ユーザーに属するアカウントをUBAアプリケーションに学習させることができます。これにより、UBAアプリ内のさまざまなユーザー名のリスク・データとトラフィック・データを組み合わせることができるため、ユーザーのアクションを適切に監視し攻撃を防ぐことができます。
UBAアプリケーションを強化する機械学習アドオンでユースケースを充実・深化させ、時系列でのプロファイリングとクラスタリングを実行できます。機械学習は、学習した動作（モデル）、現在の動作、アラートを表示する既存のUBAアプリケーションの視覚化に追加され、QRadarの履歴データを使用し、対象ユーザーにとって正常な振る舞いの予測モデルとベースラインを作成します。
UBAルールの内容はアプリ構成後にインストールされ、QRadarユース・ケース・マネージャー・アプリで編集できます。ユーザーのリスクを測定するルールがUBAルール・データ・テーブルに追加されます。UBAルールおよび調整機能を使用して、QRadar SIEMが会社やデータの保護を保つために使用するパラメーターを決定できます。
はい。QRadar SIEMコンソールで実行される場合、UBAアプリケーションには最小64GB、最大128GBのメモリーが必要です。また、機械学習アプリケーションを有効にしてQRadar SIEMアプリケーションを実行するメリットを十分に活用するために、アプリケーション・ホストの導入をご検討ください。
UBAは、既存のユーザー・インターフェースとデータベースを使用してQRadar SIEMに直接統合されます。企業全体のセキュリティー・データは全て、従来通り一元保管できます。アナリストは既存のSIEMシステムの一部としてルールの調整やレポートの生成、データの連結を実施できます。
UBAはQRadar SIEMやNDRと同じ基礎データベースを共有しているため、QRadar SIEMに取り込まれた全てのデータ・ソースはUBAで表示および利用できます。
UBAは、ユーザーのID情報を取り込んで結合するLDAPアプリケーション、データと分析を可視化するUBAアプリケーション、ユーザー・アクティビティーの行動モデルを作成するために使用される機械学習アルゴリズムのライブラリーを提供する機械学習アプリケーションという3つのアプリケーションをまとめてパッケージされています。
異常検知は、予想と外れた振る舞いをし、大多数のデータとは著しく異なる、普通でないパターンを識別するために使用される技術です。UBAは、ユーザーおよび類似ユーザー（ピア）のイベントから通常の振る舞いのベースラインを構築し、このベースラインを使用して異常な振る舞いを検知します。
リスク・スコアとは、ユーザーのアクティビティーの潜在的な有害度を示す数値です。UBAが検知した異常な振る舞いはそれぞれ、個々のユーザーのリスク・スコアに影響します。
機械学習アルゴリズムはインストール時にQRadarのデータベースから過去4週間のデータを取り込み、1週間以内に正常な振る舞いのモデルを作成します。
UBAアプリケーションは、IBM Security QRadar SaaS、ソフトウェア、またはクラウド上に導入できます。
UBAアプリケーションは、QRadarのお客様に追加コストなしで提供されます。
全てのQRadarアプリケーションやモジュールと同じく、データは保存時に暗号化されます。
