UEBAとは、複数のセキュリティ機器やネットワーク機器からログを集約し、ユーザごとの振る舞いを分析する手法
User(ユーザ)とEntity(実体)とあるように、ユーザの振る舞いだけでなく、サーバやIoT機器などネットワーク上にあるすべてのものが対象となります。
UEBA登場の背景
セキュリティ対策として、内部ネットワークを外部ネットワークから守るためのファイアウォールやIDS/IPSなど、ネットワーク境界での防御だけでは不十分となってきました。
攻撃が高度化してネットワーク境界の防御を突破してきたものや、内部犯行が増加してきたからです。
また、高度な攻撃は、機器単体で検知されるような明らかに異常な行動はしないように振る舞うようになってきました。
これに対応するには、以下の機能をもつ基盤が必要となります。
内部ネットワーク上のログを集約して管理する
ネットワーク全体での動作を分析する
まず登場したのがSIEM(Security Information and Event Management)です。
SIEMはネットワーク機器のログを一元管理するものですが、セキュリティの高度な知識を必要とするため、導入が進んでいないようです。
このような背景のもとUEBAが登場しました。
UEBAの動作概要
UEBAは、各ログをユーザや実体の機器に関連付けして管理します。
ユーザや実体ごとにその振る舞いを監視して、異常行動を検知するイメージです。
異常行動と認識するためには、通常の行動を逸脱しているかの判断基準が必要です。
また、通常の行動は、アクセスするサーバやWebサイト、大量のデータ送受信の有無など、ユーザや実体ごとに異なります。
UEBAでは、それらをユーザや実体ごとに定義することが可能です。
これにより、「ユーザAさんが通常行っていないサーバへのアクセスで大量データをアップロードした」などの個々の振る舞いを検知します。
なお、通常の行動の定義には機械学習を用いるものが多いようです。