主な機能
ユーザーの異常な行動に基づいて内部関係者による脅威を検出
ユーザーの行動分析およびきめ細かい機械学習アルゴリズムにより、ユーザーが通常の活動パターンから逸脱した場合や、同僚と異なる行動をした場合に検出できます。QRadar UBAは、通常の活動のベースラインを作成し、重大な逸脱を検出することで、悪意のある内部関係者と、サイバー犯罪者によって資格情報を漏えいされたユーザーの両方を明らかにします。
IBM QRadarとシームレスに統合
QRadar UBAは、既存のQRadarのユーザー・インターフェースとデータベースを活用して、QRadar Security Intelligence Platformに直接統合されます。企業全体のすべてのセキュリティー・データを1カ所に保持することができます。また、アナリストは、ルールの調整、レポートの生成、補完的なIdentity and Access Management(IAM)ソリューションとの統合を行うことができます。これらはすべて、新しいシステムの習得や新しい統合の構築を必要としません。
個々のユーザーの詳細なリスク・スコアを生成
リスク・スコアはユーザー活動に基づいて動的に変化し、リスクの高いユーザーをウォッチ・リストに追加できます。セキュリティー・アナリストは、詳しい調査を容易に行うことができ、個人のリスク・スコアに関与する行動、攻撃、ログ・データ、およびフロー・データを確認できます。これにより、内部関係者の脅威に関連する調査と対応の時間を短縮できます。
IBM Security App Exchangeから入手可能
QRadar UBAは、プラットフォームの正式なリリース・サイクルに関係のないダウンロード可能なアプリケーションとしてパッケージされています。現行のQRadarのすべてのお客様は、このアプリケーションをQRadarバージョン7.2.8以降に追加することで、ネットワーク内の活動をユーザー中心の視点で見れるようになります。
お客様導入事例
お客様による導入事例
-
内部関係者の脅威の可視化
問題点
サイバー攻撃を検知し、セキュリティー・インシデントを優先順位付けし、内部関係者による脅威に効果的に対応する必要があります。
ソリューション
異常な行動を発見し、不正な内部関係者や漏えいした資格情報を使用するサイバー犯罪者を、より迅速かつ効果的に識別します。
-
QRadarプラットフォーム機能の拡張
問題点
個々のユーザーの潜在的な悪意のあるアクティビティーの監視を手動で行っており、ネットワークに接続されていないツールが多数必要です。
ソリューション
UBAのダッシュボードは、QRadarコンソールの一部として統合されており、既存の機能を拡張することでリスクの高いユーザーをより適切に識別できるようにします。UBAアプリケーションの個々のユーザーの詳細ページから、ユーザーの異常な行動がないか調査します。
-
企業全体のユーザー・リスクの監視
問題点
お客様の環境の全体的な正常性と、ユーザーがその環境にもたらすリスクを判別します。
ソリューション
機械学習を適用してユーザーのリスク・スコアを生成し、リスクの高いユーザーを識別して最も危険な活動に対してのみアラートを発行することで、アナリストを圧倒することなく脅威について早期に警告します。
技術的詳細
ソフトウェア要件
最高の体験を得るには、QRadarシステムをQRadar 7.2.8パッチ13(またはそれ以降)あるいはQRadar 7.3.1パッチ6(またはそれ以降)にアップグレードしてください。
- QRadarバージョン7.2.8以降
- Mozilla Firefox 45.2 Extended Supportリリース
- Google Chrome(最新バージョン)
ハードウェア要件
- UBAアプリケーションには、メモリーのアプリケーション・プールに1.2GBの空きメモリーが必要です。
- MLモデルによる監視対象ユーザーの最大数は5GBあたり40,000であり、ユーザーの総数は最大160,000です。
おすすめ関連製品
IBM QRadar SIEM
IBM QRadar SIEMは、数千のデバイス、エンドポイント、ネットワーク全体に分散するネットワーク・アプリケーションから得たログ・イベントとネットワーク・フロー・データを統合します。