User Behavior Analytics 製品ツアー

機械学習を使用した内部脅威からの防御

Splunk User Behavior Analytics (Splunk® UBA) は、ユーザー、端末デバイス、アプリケーションで未知の脅威や異常な動作を検出するために必要な答えを提供する、機械学習によるソリューションです。外部からの攻撃だけでなく、内部の脅威にも注力します。機械学習アルゴリズムがリスク評価と裏付けの根拠を伴った実用的な結果を生成することにより、セキュリティ オペレーション センター (SOC) のアナリストが持つ既存技術を補完し、より迅速な対応を可能にします。さらに、セキュリティアナリストや脅威ハンターに視覚的な分析手段を提供して、異常な動作を積極的に調査できるようにします。

Splunk User Behavior Analytics ソフトウェアは、次のことを提供します。

  • 監視されていないアルゴリズムを活用する、動作中心、専用、設定可能なマシン学習フレームワークを使用して、検出フットプリントを強化します
  • 何百もの異常を1つの脅威に自動的にまとめることで、SOC アナリストのユーザーおよびエンティティ行動分析(UEBA)能力を強化します 
  • 複数の攻撃段階で脅威を可視化し、強化されたコンテキストを提供します
  • データ取り込みと関連付けの Splunk Enterprise と、またインシデントスコープ、調査、自動応答の Splunk Enterprise Security(ES)との双方向の統合をサポートします
始めましょう
  • 製品ブリーフ Splunk User Behavior Analytics
  • テクニカル ブリーフ Splunk® User Behavior Analytics を使用
  • Splunk UBA 使用事例 内部脅威
  • Splunk UBA 使用事例 外部脅威
  • Splunk UBA アニメーションビデオ
    外からの攻撃および内部脅威を検出
  • 451 影響調査 Splunk でマシン学習がマシンデータ解析に組み込まれます

Splunk User Behavior Analytics の主要な特徴

ビッグデータ基盤

ビッグデータ基盤(Hadoop、Spark、GraphDB)

ビッグデータ基盤で構築された Splunk UBA は、1日に数十億のイベントを処理ができるよう水平方向に拡張し、数十万の組織的エンティティの分析をサポートします。
マシン学習

無人マシン学習

専用の無人マシン学習アルゴリズムは偽陽性の生成を削減し、幅広く網羅し、信頼性の高い結果を出し、インシデント応答と脅威の追跡を助けます。
多次元動作の基準

多次元動作の基準

確率的接尾辞木などの動作基準を用いた履歴とリアルタイムデータは、複数の時系列でカウントすることで、外れ値の特定に役立ち、組織メトリックを可視化します。
脅威レビューおよび検証

カスタム脅威の生成

基礎となるマシン学習フレームワークをカスタマイズして、関心の異常をまとめ、きめ細かな管理を通じてカスタム使用事例に対処します。
モニタリング

ユーザーモニタリングとウォッチリスト

すばやく簡単なアクセスを可能にするカスタムウィジェットまたは臨機応変なウォッチリストを使用して、ユーザーとその活動をモニタリングします。
抑制

異常の抑制とスコアリング

カスタムスコアを適用し、トリガされる異常を抑制することで、検出された異常の優先順位化を行い、高く忠実な脅威を得ます。

Splunk エンタープライズと Splunk エンタープライズセキュリティを使用する双方向の統合

データ分析に使用する Splunk Enterprise とのシームレスな統合。 Splunk Enterprise Security への異常と脅威のリアルタイム転送とセットで、信頼性の高いアラートを持つ組織がセキュリティの位置を視覚的に洞察し、応答を自動化するのに役立ちます。 
 

Splunk ユーザー行動分析のユースケース

Splunk UBA は、次のようなユースケースに適用いただけます。

データ引き出しの検知
データ損失防止(DLP)アラート、クラウドアクセスセキュリティブローカー(CASB)ログ、ネットワークトラフィックデータまたはその両方に注力するなど、組織内の資産またはユーザーからのデータ引き出しの証拠をすばやく特定します。
特権乱用を含む内部アクセス悪用
データへの過度のアクセスや未承認のアクセス、システム特権の悪用に発展する特権乱用ユーザー(従業員と信頼できる第三者の両方)を特定します。
調査用の文脈と情報の提供
ユーザーおよびエンティティの動作分析、異常および脅威の情報を提供して、アラートの優先順位決定およびインシデントの調査を実行します。
Detectcompromisedendpoint
侵害されたエンドポイントを検出
侵害されている、マルウェアに感染している、または疑わしい動作をしているネットワークエンドポイントを特定し、アプリケーションの誤用や悪用についてのインサイトを取得します。
Customusecase
カスタムのユースケース
独自のリスクスコアと復旧アクションに合わせてカスタム異常モデルを作成し、新しいユースケースを作成します。

Splunk ユーザー動作分析で利用可能なワークフロー

Splunk® UBA はキルチェーン全体の脅威と異常をマッピングし、セキュリティアナリストのニーズに対応する多様なワークフローを動作させます。
異常検証
完全に自動化されたカスタマイズ可能な異常検出フレームワークにより、ハンターはマシン学習の結果を探索し、重大な違反を特定し、疑わしいパターンを見つけることができます。
脅威検出
完全に自動化されたカスタマイズ可能な異常検出フレームワークは、特権アカウントの乱用、横方向移動、疑わしい動作など、内部の脅威とカスタムの使用事例に対処します。
ネットワーク動作分析
ユーザーとエンティティのアクティビティ、ピアグループ、内部および外部リスクパーセントなどの情報を得ます。

連動する 2 つのプレミアムソリューション

Splunk ES と Splunk UBA を組み合わせることで、人駆動型ソリューションとマシン駆動型ソリューションの力を活用でき、脅威や異常の検出と解決を行って最大の価値を得ることができます。

Splunk のユーザーおよびエンティティの動作分析が選ばれる理由

Splunk UBA は、人やリソースや時間の不足のため見逃しがちな脅威を発見して既存のセキュリティチームを補完するので、生産性を高めることができます。強力な機械学習フレームワーク、カスタマイズ性、幅広いユースケースへの対応により、未知の脅威と異常な動作の自動検出が可能になります。Splunk UBA は Splunk Enterprise および Splunk Enterprise Security とシームレスに統合し、エンド ツー エンドのインシデントや侵害への対応に役立ちます。


他に質問がございますか?