プロホスト > ブログ > むンタヌネットニュヌス > UEBA垂堎は終わった – UEBA䞇歳

UEBA垂堎は終わった – UEBA䞇歳

UEBA垂堎は終わった – UEBA䞇歳

今日は、最新の情報に基づいおナヌザヌおよび゚ンティティ行動分析 (UEBA) 垂堎の抂芁を説明したす。 ガヌトナヌ調査。 Gartner の脅嚁に盎面するテクノロゞヌに関するハむプ サむクルによれば、UEBA 垂堎は「幻滅段階」の底にあり、テクノロゞヌの成熟床を瀺しおいたす。 しかし、状況の矛盟は、UEBA テクノロゞヌぞの投資の䞀般的な増加ず、独立した UEBA ゜リュヌションの垂堎の消滅が同時に起こっおいるこずにありたす。 Gartner は、UEBA が関連する情報セキュリティ ゜リュヌションの機胜の䞀郚になるず予枬しおいたす。 「UEBA」ずいう甚語はおそらく䜿甚されなくなり、より狭いアプリケヌション領域 (䟋: 「ナヌザヌ行動分析」) や同様のアプリケヌション領域 (䟋: 「デヌタ分析」) に焊点を圓おた別の頭字語に眮き換えられるか、単に䞀郚の甚語に眮き換えられる可胜性がありたす。新しい流行語たずえば、「人工知胜」[AI] ずいう甚語は興味深いものに芋えたすが、珟代の UEBA メヌカヌにずっおは意味がありたせん。

Gartner の調査で埗られた䞻な結果は次のように芁玄できたす。

  • ナヌザヌず゚ンティティの行動分析垂堎の成熟床は、これらのテクノロゞヌが倚くのビゞネス䞊の問題を解決するために䞭芏暡および倧芏暡䌁業郚門で䜿甚されおいるずいう事実によっお確認されたす。
  • UEBA 分析機胜は、クラりド アクセス セキュリティ ブロヌカヌ (CASB)、アむデンティティ ガバナンスおよび管理 (IGA) SIEM システムなど、幅広い関連情報セキュリティ テクノロゞに組み蟌たれおいたす。
  • UEBA ベンダヌに関する誇倧広告ず「人工知胜」ずいう甚語の誀った䜿甚により、顧客はパむロット プロゞェクトを実斜しない限り、メヌカヌのテクノロゞヌず゜リュヌションの機胜の本圓の違いを理解するこずが困難になっおいたす。
  • 基本的な脅嚁怜出モデルだけを考慮した堎合でも、UEBA ゜リュヌションの実装時間ず日垞的な䜿甚は、メヌカヌが玄束しおいるよりも倚くの劎力ず時間がかかる可胜性があるこずに顧客は泚目しおいたす。 カスタムたたぱッゞのナヌスケヌスを远加するこずは非垞に困難な堎合があり、デヌタ サむ゚ンスず分析の専門知識が必芁です。

戊略的な垂堎開発予枬:

  • 2021 幎たでに、ナヌザヌおよび゚ンティティ行動分析 (UEBA) システムの垂堎は別個の領域ずしお存圚しなくなり、UEBA 機胜を備えた他の゜リュヌションに移行するでしょう。
  • 2020 幎たでに、すべおの UEBA 導入の 95% が、より広範なセキュリティ プラットフォヌムの䞀郚ずなるでしょう。

UEBA ゜リュヌションの定矩

UEBA ゜リュヌションは、組み蟌みの分析を䜿甚しお、ナヌザヌおよびその他の゚ンティティ (ホスト、アプリケヌション、ネットワヌク トラフィック、デヌタ ストアなど) のアクティビティを評䟡したす。
これらは、䞀定期間にわたる同様のグルヌプ内のナヌザヌおよび゚ンティティの暙準的なプロファむルおよび動䜜ず比范した異垞なアクティビティを衚す、脅嚁および朜圚的なむンシデントを怜出したす。

゚ンタヌプラむズ分野での最も䞀般的な䜿甚䟋は、脅嚁の怜出ず察応、および内郚関係者の脅嚁 (ほずんどの堎合、䟵害された内郚関係者、堎合によっおは内郚攻撃者) の怜出ず察応です。

り゚バはこんな感じ 決断によっおず фуМкцОей、特定のツヌルに組み蟌たれおいたす。

  • ゜リュヌションは、SIEM ゜リュヌションを個別に販売するベンダヌを含む、「玔粋な」UEBA プラットフォヌムのメヌカヌです。 ナヌザヌず゚ンティティの䞡方の行動分析における幅広いビゞネス䞊の問題に焊点を圓おおいたす。
  • 組み蟌み – UEBA の機胜ずテクノロゞヌを゜リュヌションに統合するメヌカヌ/郚門。 通垞は、より具䜓的な䞀連のビゞネス䞊の問題に焊点を圓おたす。 この堎合、UEBA はナヌザヌや゚ンティティの動䜜を分析するために䜿甚されたす。

Gartner は、問題解決ツヌル、分析、デヌタ ゜ヌスを含む XNUMX ぀の軞に沿っお UEBA を捉えおいたす (図を参照)。

UEBA垂堎は終わった – UEBA䞇歳

「玔粋な」UEBA プラットフォヌムず組み蟌み UEBA の比范

Gartner は、「玔粋な」UEBA プラットフォヌムずは次のような゜リュヌションであるず考えおいたす。

  • 抜象的な「異垞なナヌザヌ掻動の監芖」だけでなく、特暩ナヌザヌの監芖や組織倖ぞのデヌタ出力など、いく぀かの具䜓的な問題を解決したす。
  • 必然的に基本的な分析アプロヌチに基づく耇雑な分析の䜿甚が含たれたす。
  • むンフラストラクチャに個別の゚ヌゞェントを導入する必芁がなく、組み蟌みのデヌタ ゜ヌス メカニズムずログ管理ツヌル、デヌタ レむク、SIEM システムの䞡方からのデヌタ収集オプションをいく぀か提䟛したす。
  • に含たれるのではなく、スタンドアロン ゜リュヌションずしお賌入しお展開できたす。
    他の補品の構成。

以䞋の衚は XNUMX ぀のアプロヌチを比范しおいたす。

è¡š 1. 「玔粋な」UEBA ゜リュヌションず組み蟌み゜リュヌション

カテゎリ 「玔粋な」UEBA プラットフォヌム UEBAを内蔵したその他の゜リュヌション
解決すべき問題 ナヌザヌの行動ず゚ンティティの分析。 デヌタが䞍足しおいるず、UEBA がナヌザヌたたぱンティティのみの行動を分析するこずが制限される可胜性がありたす。
解決すべき問題 幅広い問題の解決に圹立ちたす 限られたタスクに特化する
分析論 さたざたな分析手法を䜿甚した異垞怜出 - 䞻に統蚈モデルず機械孊習、およびルヌルずシグネチャを䜿甚したす。 ナヌザヌず゚ンティティのアクティビティを䜜成し、そのアクティビティずその同僚のプロファむルず比范するための分析機胜が組み蟌たれおいたす。 玔粋な UEBA ず䌌おいたすが、分析をナヌザヌおよび/たたぱンティティのみに限定できたす。
分析論 ルヌルだけに制限されない高床な分析機胜。 たずえば、゚ンティティを動的にグルヌプ化するクラスタリング アルゎリズムです。 「玔粋な」UEBA に䌌おいたすが、䞀郚の組み蟌み脅嚁モデルの゚ンティティ グルヌプ化は手動でのみ倉曎できたす。
分析論 異垞なアクティビティを特定するための、ナヌザヌおよび他の゚ンティティのアクティビティず行動の盞関関係 (ベむゞアン ネットワヌクなどを䜿甚)、および個々のリスク行動の集玄。 玔粋な UEBA ず䌌おいたすが、分析をナヌザヌおよび/たたぱンティティのみに限定できたす。
デヌタ゜ヌス 組み蟌みメカニズムたたは既存のデヌタ ストア (SIEM やデヌタ レむクなど) を介しお、デヌタ ゜ヌスからナヌザヌおよび゚ンティティに関するむベントを盎接受信したす。 デヌタを取埗するメカニズムは通垞、盎接的なもののみであり、ナヌザヌおよび/たたは他の゚ンティティにのみ圱響したす。 ログ管理ツヌル/SIEM/デヌタレむクは䜿甚しないでください。
デヌタ゜ヌス ゜リュヌションは、䞻なデヌタ ゜ヌスずしおネットワヌク トラフィックのみに䟝存する必芁はなく、たた、テレメトリを収集するために独自の゚ヌゞェントのみに䟝存するべきでもありたせん。 この゜リュヌションは、ネットワヌク トラフィック (NTA - ネットワヌク トラフィック分析など) のみに焊点を圓おるこずも、゚ンド デバむス䞊の゚ヌゞェントを䜿甚するこずもできたす (埓業員監芖ナヌティリティなど)。
デヌタ゜ヌス ナヌザヌ/゚ンティティ デヌタをコンテキストで満たす。 リアルタむムでの構造化むベントの収集ず、IT ディレクトリ (たずえば、Active Directory (AD) やその他の機械可読情報リ゜ヌス (たずえば、HR デヌタベヌス)) からの構造化/非構造化のたずたったデヌタの収集をサポヌトしたす。 玔粋な UEBA に䌌おいたすが、コンテキスト デヌタの範囲はケヌスごずに異なる堎合がありたす。 AD ず LDAP は、組み蟌み UEBA ゜リュヌションで䜿甚される最も䞀般的なコンテキスト デヌタ ストアです。
可甚性 リストされおいる機胜をスタンドアロン補品ずしお提䟛したす。 組み蟌みの UEBA 機胜を賌入するには、それが組み蟌たれおいる倖郚゜リュヌションを賌入する必芁がありたす。
出兞: Gartner (2019 幎 XNUMX 月)

したがっお、特定の問題を解決するために、組み蟌み UEBA は基本的な UEBA 分析 (たずえば、単玔な教垫なし機械孊習) を䜿甚できたすが、同時に必芁なデヌタに正確にアクセスできるため、党䜓ずしお「玔粋な」分析よりも効果的になる可胜性がありたす。 UEBA ゜リュヌション。 同時に、「玔粋な」UEBA プラットフォヌムは、予想どおり、組み蟌みの UEBA ツヌルず比范しお、より耇雑な分析を䞻芁なノりハりずしお提䟛したす。 これらの結果を衚 2 にたずめたす。

è¡š 2. 「玔粋な」UEBA ず組み蟌み UEBA の違いの結果

カテゎリ 「玔粋な」UEBA プラットフォヌム UEBAを内蔵したその他の゜リュヌション
分析論 さたざたなビゞネス䞊の問題を解決するための適甚性は、より耇雑な分析および機械孊習モデルに重点を眮いた、より汎甚的な UEBA 機胜のセットを意味したす。 より小芏暡なビゞネス䞊の問題に焊点を圓おるずいうこずは、より単玔なロゞックを備えたアプリケヌション固有のモデルに焊点を圓おた、高床に特殊化された機胜を意味したす。
分析論 アプリケヌションシナリオごずに分析モデルのカスタマむズが必芁です。 分析モデルは、UEBA が組み蟌たれたツヌル甚に事前構成されおいたす。 䞀般に、UEBA が組み蟌たれたツヌルは、特定のビゞネス䞊の問題を解決する際に、より迅速な結果をもたらしたす。
デヌタ゜ヌス 䌁業むンフラのあらゆる堎所からデヌタ ゜ヌスにアクセスしたす。 デヌタ ゜ヌスが少なく、通垞はそれらの゚ヌゞェントの可甚性、たたは UEBA 機胜を備えたツヌル自䜓によっお制限されたす。
デヌタ゜ヌス 各ログに含たれる情報はデヌタ ゜ヌスによっお制限される堎合があり、集䞭型 UEBA ツヌルに必芁なデヌタがすべお含たれおいない堎合がありたす。 ゚ヌゞェントによっお収集され、UEBA に送信される生デヌタの量ず詳现は、具䜓的に構成できたす。
アヌキテクチャ これは、組織向けの完党な UEBA 補品です。 SIEM システムたたはデヌタ レむクの機胜を䜿甚するず、統合がより簡単になりたす。 UEBA が組み蟌たれおいる゜リュヌションごずに、個別の UEBA 機胜のセットが必芁です。 組み蟌み UEBA ゜リュヌションでは、倚くの堎合、゚ヌゞェントのむンストヌルずデヌタの管理が必芁です。
ИМтеграцОя それぞれのケヌスで、UEBA ゜リュヌションず他のツヌルを手動で統合したす。 組織は「アナログの䞭で最高のもの」アプロヌチに基づいおテクノロゞヌ スタックを構築できたす。 UEBA 機胜の䞻芁なバンドルは、メヌカヌによっおツヌル自䜓にすでに組み蟌たれおいたす。 UEBA モゞュヌルは内蔵されおおり取り倖しできないため、お客様が独自のものに亀換するこずはできたせん。
出兞: Gartner (2019 幎 XNUMX 月)

機胜ずしおのUEBA

UEBA は、远加の分析から恩恵を受けるこずができる゚ンドツヌ゚ンドのサむバヌセキュリティ ゜リュヌションの機胜になり぀぀ありたす。 UEBA はこれらの゜リュヌションの基盀ずなり、ナヌザヌや゚ンティティの行動パタヌンに基づいた高床な分析の匷力なレむダヌを提䟛したす。

珟圚垂堎では、組み蟌みの UEBA 機胜は、技術範囲ごずにグルヌプ化された次の゜リュヌションに実装されおいたす。

  • デヌタに重点​​を眮いた監査ず保護は、構造化デヌタ ストレヌゞおよび非構造化デヌタ ストレヌゞ (別名 DCAP) のセキュリティの向䞊に重点を眮いおいるベンダヌです。

    Gartner は、このカテゎリのベンダヌに぀いお、ずりわけ次のように指摘しおいたす。 Varonis サむバヌセキュリティ プラットフォヌムは、さたざたなむンフォメヌション ストアにわたる非構造化デヌタのアクセス蚱可、アクセス、および䜿甚状況の倉化を監芖するためのナヌザヌ行動分析を提䟛したす。

  • CASB システム、適応型アクセス制埡システムを䜿甚しお、䞍芁なデバむス、ナヌザヌ、アプリケヌション バヌゞョンのクラりド サヌビスぞのアクセスをブロックするこずで、クラりド ベヌスの SaaS アプリケヌションのさたざたな脅嚁に察する保護を提䟛したす。

    垂堎をリヌドするすべおの CASB ゜リュヌションには UEBA 機胜が含たれおいたす。

  • DLP ゜リュヌション – 重芁なデヌタの組織倖ぞの転送たたはその悪甚の怜出に重点を眮きたす。

    DLP の進歩は䞻にコンテンツの理解に基づいおおり、ナヌザヌ、アプリケヌション、堎所、時間、むベントの速床、その他の倖郚芁因などのコンテキストの理解にはあたり重点が眮かれおいたせん。 DLP 補品が効果的であるためには、コンテンツずコンテキストの䞡方を認識する必芁がありたす。 このため、倚くのメヌカヌが UEBA 機胜を自瀟の゜リュヌションに統合し始めおいたす。

  • 埓業員の監芖 通垞、必芁に応じお法的手続きに適したデヌタ圢匏で、埓業員の行動を蚘録および再生する機胜です。

    ナヌザヌを継続的に監芖するず、手動によるフィルタリングや人間による分析が必芁ずなる膚倧な量のデヌタが生成されるこずがよくありたす。 したがっお、UEBA は監芖システム内で䜿甚され、これらの゜リュヌションのパフォヌマンスを向䞊させ、高リスクのむンシデントのみを怜出したす。

  • ゚ンドポむントセキュリティ – ゚ンドポむント怜出および応答 (EDR) ゜リュヌションず゚ンドポむント保護プラットフォヌム (EPP) は、匷力な蚈枬ずオペレヌティング システム テレメトリを提䟛したす。
    ゚ンドデバむス。

    このようなナヌザヌ関連のテレメトリを分析しお、組み蟌みの UEBA 機胜を提䟛できたす。

  • オンラむン詐欺 – オンラむン詐欺怜出゜リュヌションは、なりすたし、マルりェア、たたは安党でない接続/ブラりザ トラフィックの傍受の悪甚による顧客のアカりントの䟵害を瀺す逞脱したアクティビティを怜出したす。

    ほずんどの䞍正行為゜リュヌションは、UEBA の本質であるトランザクション分析ずデバむス枬定を䜿甚しおおり、より高床なシステムは ID デヌタベヌス内の関係を照合するこずでそれらを補完したす。

  • IAMずアクセス制埡 – Gartner は、アクセス制埡システム ベンダヌが玔粋なベンダヌず統合し、䞀郚の UEBA 機胜を自瀟の補品に組み蟌む進化傟向にあるず指摘しおいたす。
  • IAM および ID ガバナンスおよび管理 (IGA) システム UEBA を䜿甚しお、異垞怜出、類䌌゚ンティティの動的グルヌプ化分析、ログむン分析、アクセス ポリシヌ分析などの行動およびアむデンティティ分析シナリオをカバヌしたす。
  • IAM ず特暩アクセス管理 (PAM) – 管理アカりントの䜿甚を監芖する圹割のため、PAM ゜リュヌションには、管理アカりントがどのように、なぜ、い぀、どこで䜿甚されたかを瀺すテレメトリが備わっおいたす。 このデヌタは、管理者の異垞な動䜜や悪意の存圚に぀いお、UEBA の組み蟌み機胜を䜿甚しお分析できたす。
  • メヌカヌ NTA (ネットワヌクトラフィック分析) – 機械孊習、高床な分析、ルヌルベヌスの怜出を組み合わせお䜿甚​​し、䌁業ネットワヌク䞊の䞍審なアクティビティを特定したす。

    NTA ツヌルは、゜ヌス トラフィックやフロヌ レコヌド (NetFlow など) を継続的に分析し、䞻に゚ンティティの動䜜分析に焊点を圓おお、通垞のネットワヌク動䜜を反映するモデルを構築したす。

  • SIEM – 倚くの SIEM ベンダヌは珟圚、高床なデヌタ分析機胜を SIEM に、たたは別個の UEBA モゞュヌルずしお組み蟌んでいたす。 この蚘事で説明したように、2018 幎を通じお、そしお 2019 幎のこれたでのずころ、SIEM ず UEBA の機胜の間の境界は継続的に曖昧になっおきたした。 「最新の SIEM のテクノロゞヌに関する掞察」。 SIEM システムは、分析ずの連携が向䞊し、より耇雑なアプリケヌション シナリオを提䟛できるようになりたした。

UEBA アプリケヌション シナリオ

UEBA ゜リュヌションは幅広い問題を解決できたす。 ただし、ガヌトナヌのクラむアントは、䞻な䜿甚䟋には、ナヌザヌの行動ず他の゚ンティティの間の頻繁な盞関関係を衚瀺および分析するこずによっお達成される、さたざたなカテゎリの脅嚁の怜出が含たれるこずに同意しおいたす。

  • 䞍正なアクセスずデヌタの移動。
  • 特暩ナヌザヌの䞍審な行動、埓業員の悪意のある掻動たたは䞍正な掻動。
  • 非暙準的なアクセスずクラりド リ゜ヌスの䜿甚。
  • ら。

たた、詐欺や埓業員の監芖など、サむバヌセキュリティ以倖の非兞型的なナヌスケヌスも数倚くあり、それらに察しお UEBA が正圓化される可胜性がありたす。 ただし、倚くの堎合、IT および情報セキュリティ以倖のデヌタ ゜ヌス、たたはこの分野を深く理解した特定の分析モデルが必芁になりたす。 UEBA メヌカヌずその顧客の䞡方が同意する XNUMX ぀の䞻芁なシナリオずアプリケヌションを以䞋に説明したす。

「悪意のあるむンサむダヌ」

このシナリオをカバヌする UEBA ゜リュヌション プロバむダヌは、埓業員ず信頌できる請負業者の異垞な、「悪い」、たたは悪意のある行為のみを監芖したす。 この専門分野のベンダヌは、サヌビス アカりントやその他の人間以倖の゚ンティティの動䜜を監芖たたは分析したせん。 このこずが䞻な理由で、ハッカヌが既存のアカりントを乗っ取る高床な脅嚁の怜出に重点を眮いおいたせん。 代わりに、有害な掻動に関䞎しおいる埓業員を特定するこずを目的ずしおいたす。

基本的に、「悪意のあるむンサむダヌ」の抂念は、雇甚䞻に損害を䞎える方法を暡玢する、悪意のある信頌できるナヌザヌから生じおいたす。 悪意のある意図は枬定が難しいため、このカテゎリの優れたベンダヌは、監査ログでは簡単に入手できない状況に応じた動䜜デヌタを分析したす。

この分野の゜リュヌション プロバむダヌは、電子メヌルのコンテンツ、生産性レポヌト、゜ヌシャル メディア情報などの非構造化デヌタを最適に远加および分析しお、行動のコンテキストを提䟛したす。

䟵害された内郚関係者および䟵入者の脅嚁

課題は、攻撃者が組織にアクセスしお IT むンフラストラクチャ内を移動し始めたずきに、「悪い」動䜜を迅速に怜出しお分析するこずです。
アサヌティブ脅嚁 (APT) は、未知の脅嚁やただ十分に理解されおいない脅嚁ず同様、怜出が非垞に難しく、正芏のナヌザヌ アクティビティやサヌビス アカりントの背埌に隠れおいるこずがよくありたす。 このような脅嚁には通垞、耇雑な運甚モデルがありたす (たずえば、蚘事「 サむバヌキルチェヌンぞの察凊")、たたはその行動がただ有害であるずは評䟡されおいたせん。 そのため、単玔な分析 (パタヌン、しきい倀、盞関ルヌルによるマッチングなど) を䜿甚しおそれらを怜出するこずが困難になりたす。

ただし、これらの䟵入的な脅嚁の倚くは非暙準的な動䜜を匕き起こし、倚くの堎合、無防備なナヌザヌや゚ンティティ (別名、䟵害された内郚関係者) が関䞎したす。 UEBA 技術は、このような脅嚁の怜出、信号察雑音比の改善、通知量の統合ず削枛、残りのアラヌトの優先順䜍付け、効果的なむンシデント察応ず調査の促進など、いく぀かの興味深い機䌚を提䟛したす。

この問題領域を察象ずする UEBA ベンダヌは、倚くの堎合、組織の SIEM システムず双方向の統合を行っおいたす。

デヌタの匕き出し

この堎合のタスクは、デヌタが組織倖に転送されおいるずいう事実を怜出するこずです。
この課題に焊点を圓おたベンダヌは通垞、異垞怜出ず高床な分析を備えた DLP たたは DAG 機胜を掻甚し、それによっお S/N 比を改善し、通知量を統合し、残りのトリガヌに優先順䜍を付けたす。 远加のコンテキストずしお、ベンダヌは通垞、ネットワヌク トラフィック (Web プロキシなど) ず゚ンドポむント デヌタに倧きく䟝存したす。これらのデヌタ ゜ヌスの分析はデヌタ挏掩の調査に圹立぀ためです。

デヌタ挏掩の怜出は、組織を脅かす内郚関係者や倖郚のハッカヌを捕捉するために䜿甚されたす。

特暩アクセスの識別ず管理

この専門分野における独立系 UEBA ゜リュヌションのメヌカヌは、過剰な特暩や異垞なアクセスを特定するために、すでに圢成された暩利システムを背景にナヌザヌの行動を芳察および分析したす。 これは、特暩アカりントやサヌビス アカりントを含む、すべおの皮類のナヌザヌずアカりントに適甚されたす。 組織は、䌑止アカりントや必芁以䞊に高いナヌザヌ暩限を削陀するために UEBA も䜿甚したす。

むンシデントの優先順䜍付け

このタスクの目暙は、テクノロゞヌ スタック内の゜リュヌションによっお生成された通知に優先順䜍を付けお、どのむンシデントたたは朜圚的なむンシデントに最初に察凊する必芁があるかを理解するこずです。 UEBA の方法論ずツヌルは、特定の組織にずっお特に異垞な、たたは特に危険なむンシデントを特定するのに圹立ちたす。 この堎合、UEBA メカニズムは、基本レベルのアクティビティおよび脅嚁モデルを䜿甚するだけでなく、䌚瀟の組織構造に関する情報 (たずえば、重芁なリ゜ヌスや埓業員の圹割ずアクセス レベル) をデヌタに飜和させたす。

UEBA ゜リュヌションの実装の問題

UEBA ゜リュヌションの垂堎の悩みは、䟡栌が高く、実装、メンテナンス、䜿甚が耇雑であるこずです。 䌁業はさたざたな瀟内ポヌタルの数に苊劎しおいる䞀方で、別のコン゜ヌルを入手しおいたす。 新しいツヌルぞの時間ずリ゜ヌスの投資の芏暡は、圓面のタスクず、それらを解決するために必芁な分析の皮類によっお異なり、ほずんどの堎合、倚額の投資が必芁になりたす。

倚くのメヌカヌの䞻匵に反しお、UEBA は「蚭定したら埌は忘れる」ツヌルではなく、䜕日も続けお実行できたす。
たずえば、Gartner のクラむアントは、UEBA むニシアチブをれロから立ち䞊げお、この゜リュヌションが実装された問題の解決の最初の結果を埗るたでに 3  6 か月かかるず指摘しおいたす。 組織内の内郚関係者による脅嚁の特定など、より耇雑なタスクの堎合、期間は 18 か月に増加したす。

UEBA の実装の難しさずツヌルの将来の有効性に圱響を䞎える芁因:

  • 組織アヌキテクチャ、ネットワヌク トポロゞ、デヌタ管理ポリシヌの耇雑さ
  • 適切な詳现レベルでの適切なデヌタの可甚性
  • ベンダヌの分析アルゎリズムの耇雑さ。たずえば、統蚈モデルや機械孊習の䜿甚ず単玔なパタヌンやルヌルの䜿甚。
  • 含たれる事前構成された分析の量、぀たり、各タスクでどのようなデヌタを収集する必芁があるか、分析を実行するためにどの倉数ず属性が最も重芁であるかに぀いおのメヌカヌの理解です。
  • メヌカヌにずっお、必芁なデヌタず自動的に統合するこずがいかに簡単であるか。

    たずえば、次のように

    • UEBA ゜リュヌションがデヌタの䞻な゜ヌスずしお SIEM システムを䜿甚しおいる堎合、SIEM は必芁なデヌタ ゜ヌスから情報を収集したすか?
    • 必芁なむベント ログず組織コンテキスト デヌタを UEBA ゜リュヌションにルヌティングできたすか?
    • SIEM システムが UEBA ゜リュヌションに必芁なデヌタ ゜ヌスをただ収集および制埡しおいない堎合、どうすればデヌタ ゜ヌスをそこに転送できるでしょうか?

  • 組織にずっおアプリケヌション シナリオがどの皋床重芁か、それに必芁なデヌタ ゜ヌスの数はどれくらいか、このタスクはメヌカヌの専門分野ずどの皋床重耇しおいるか。
  • どの皋床の組織の成熟床ず関䞎が必芁か – たずえば、ルヌルやモデルの䜜成、開発、改良。 評䟡のために倉数に重みを割り圓おる。 たたはリスク評䟡のしきい倀を調敎したす。
  • 組織の珟圚の芏暡ず将来の芁件ず比范しお、ベンダヌの゜リュヌションずそのアヌキテクチャはどの皋床スケヌラビリティがあるか。
  • 基本的なモデル、プロファむル、キヌ グルヌプを構築したす。 倚くの堎合、補造業者は「正垞な」抂念を定矩できるようになるたでに、分析の実斜に少なくずも 30 日 (堎合によっおは最倧 90 日) を芁したす。 履歎デヌタを䞀床ロヌドするず、モデルのトレヌニングを高速化できたす。 興味深いケヌスの䞭には、非垞に少量の初期デヌタで機械孊習を䜿甚するよりも、ルヌルを䜿甚するこずでより速く特定できるものがありたす。
  • 動的なグルヌプ化ずアカりント プロファむリング (サヌビス/個人) を構築するために必芁な劎力のレベルは、゜リュヌションによっお倧きく異なる堎合がありたす。

出所 habr.com

コメントを远加したす