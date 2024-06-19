ベースライン・モデルを作成した後、UBAツールはユーザーを監視し、その行動をこれらのモデルと比較します。潜在的な脅威を示すような逸脱を検知すると、セキュリティー・チームにアラートを発します。

UBAは、いくつかの異なる方法で異常を検知でき、多くのUBAツールは検出方法を組み合わせて使用します。

一部のUBAツールはルールベースのシステムを使用しており、セキュリティー・チームは、ユーザーが権限レベル外の資産にアクセスしようとした場合など、アラートをトリガーする状況を手動で定義します。

多くのUBAツールは、AIやMLアルゴリズムを利用してユーザー行動を分析し、異常を検知します。AIとMLを活用することで、UBAはユーザーの過去の行動からの逸脱を検知できます。

例えば、これまで勤務時間中だけアプリにログインしていたユーザーが、夜間や週末にもログインするようになった場合、侵害されたアカウントである可能性があります。

また、UBAツールはAIやMLを使用してユーザーを同僚と比較して、異常を検知することもできます。

例えば、マーケティング部門では、顧客のクレジット・カード記録を引き出す必要があるユーザーはいないことが十分に考えられます。マーケティング担当のユーザーがこれらのレコードにアクセスしようとした場合、それはデータ窃盗の試みの兆候である可能性があります。

ユーザー行動に関するAIやMLアルゴリズムのトレーニングに加えて、組織は脅威インテリジェンス・フィードを使用して、悪意のあるアクティビティーの既知の兆候を検出するよう、UBAツールに学習させることができます。

リスク・スコア

UBAツールは、ユーザーが通常と違うことをするたびにアラートを発するわけではありません。結局のところ、人々は多くの場合、正当な理由で「異常」な行動をしています。例えば、あるユーザーは新しいベンダーと初めて仕事をするため、それまで知らなかった相手とデータを共有することがあります。

多くのUBAツールは、個々のイベントにフラグを立てる代わりに、各ユーザーにリスク・スコアを割り当てます。ユーザーが何か異常なことをするたびに、そのリスク・スコアは上昇します。異常のリスクが高いほど、上昇率は高くなります。ユーザーのリスク・スコアが特定のしきい値を超えると、UBAツールがセキュリティー・チームにアラートを発します。

こうすることで、UBAツールはセキュリティー・チームに軽微な異常についてはアラートを出さないようにします。それでも、サイバー脅威を示す可能性が高い、ユーザーのアクティビティーの定期的な異常のパターンを捉えることはできます。1つの重大な異常が十分に高いリスクをもたらす場合には、アラートをトリガーすることもあります。