User Behavior Analytics 製品ツアー

機械学習を使用して内部不正を未然に防止

Splunk User Behavior Analytics (Splunk® UBA) は、ユーザー、端末デバイス、アプリケーションで未知なる脅威や異常な動作を検出するために必要な答えを提供する、機械学習によるソリューションです。外部からの攻撃だけでなく、内部の不正防止にも注力します。機械学習アルゴリズムがリスク評価と裏付けの根拠を伴った実用的な結果を生成することにより、セキュリティ オペレーション センター (SOC) のアナリストが持つ既存技術を補完し、より迅速な対応を可能にします。さらに、セキュリティアナリストや脅威ハンティングにおける視覚的な分析手段を提供して、異常な動作を積極的に調査できるようにします。

Splunk User Behavior Analytics ソフトウェアは、次のことを提供します。

  • 教師なし学習モデルを活用し、設定可能な機械学習フレームワーク、目的によって構築された振舞い型を中心とするエンジンにより証拠検出を拡張します
  • 何百もの異常を1つの脅威に自動的にまとめることで、SOC アナリストのユーザーおよびエンティティ行動分析(UEBA)能力を強化します 
  • 複数の攻撃段階における脅威を可視化することで、強化された攻撃の前後関係(コンテキスト)が提供されます
  • データ取り込みと関連付けの Splunk Enterprise 、またインシデントスコーピング、調査、自動応答の Splunk Enterprise Security(ES)との双方向の統合をサポートします
始めましょう
  • 製品ブリーフ Splunk User Behavior Analytics
  • テクニカル ブリーフ Splunk® User Behavior Analytics を使用
  • Splunk UBA 使用事例 内部脅威
  • Splunk UBA 使用事例 外部脅威
  • Splunk UBA アニメーションビデオ
    外部からの攻撃および内部脅威を検出
  • 451 影響調査 Splunk でマシン学習がマシンデータ解析に組み込まれます

Splunk User Behavior Analytics の主な特徴

ビッグデータ基盤

ビッグデータ基盤(Hadoop、Spark、GraphDB)

ビッグデータ基盤で構築された Splunk UBA は、1日に数十億のイベントを処理ができるよう水平方向に拡張し、数十万の組織的エンティティの分析をサポートします。
マシン学習

教師なし機械学習

専用の教師なし機械学習アルゴリズムは誤検出の生成を削減させ、攻撃を幅広く網羅し、信頼性の高い結果を出力することでインシデント対応と脅威の追跡を支援します。
多次元動作の基準

振舞いベースラインの多次元化

リアルタイムと過去のデータは、確率的接尾辞木(PST)や複数の時系列集計を行うことによって振舞いベースラインの生成を支援します。 それは、外れ値を特定し組織の測定基準に視野を提供することになります。
脅威レビューおよび検証

カスタム脅威の生成

基礎となる機械学習フレームワークを設定して、関心のある異常をまとめ、きめ細かな管理を通じてユースケースのカスタマイズが行なえます。
モニタリング

ユーザーモニタリングとウォッチリスト

すばやく簡単にアクセス可能にするカスタムウィジェット、臨機応変なウォッチリストを使用して、ユーザーとその活動をモニタリングします。
抑制

異常の抑制とスコアリング

カスタムスコアを適用し、トリガされる異常を抑制することで、検出された異常の優先順位化を行い、検出精度の高い脅威があぶりだされます。

Splunk エンタープライズと Splunk エンタープライズセキュリティの双方向の統合

データ分析に使用する Splunk Enterprise とのシームレスな統合。 UBAの異常と脅威をSplunk Enterprise Security へリアルタイムに送信することで、組織はセキュリティの全体像を視覚的に掌握できるので、攻撃への対応を自動化するのに役立ちます。 
 

Splunk ユーザー行動分析のユースケース

Splunk UBA は、次のようなユースケースに適用いただけます。

データ漏洩の検知
データ損失防止(DLP)アラート、クラウドアクセスセキュリティブローカー(CASB)ログ、ネットワークトラフィックデータまたはその両方に注力するなど、組織内の資産またはユーザーからのデータ引き出しの証拠をすばやく特定します。
特権乱用を含む内部アクセス悪用
データへの過度のアクセスや未承認のアクセス、システム特権の悪用に発展する特権乱用ユーザー(従業員と信頼できる第三者の両方)を特定します。
調査のためのコンテキストと情報の提供
ユーザーおよびエンティティの動作分析、異常および脅威の情報を提供して、アラートの優先順位決定およびインシデントの調査を実行します。
 
 
Detectcompromisedendpoint
侵害されたエンドポイントを検出
侵害されている、マルウェアに感染している、または疑わしい動作をしているネットワークエンドポイントを特定し、アプリケーションの誤用や悪用についての攻撃の本質を見抜きます。
Customusecase
カスタムのユースケース
独自のリスクスコアと復旧アクションに合わせてカスタム異常モデルを作成し、新しいユースケースを作成します。
 

Splunk UBAで利用可能なワークフロー

Splunk® UBA は、セキュリティアナリストのニーズに応える複数のワークフローを推進するために、キルチェーン全体の脅威と異常をマッピングします。
異常検証
完全に自動化されたカスタマイズ可能な異常検出フレームワークにより、ハンターは機械学習の結果を検証し、重大な違反を特定し、疑わしいパターンを見つけることができます。
脅威検出
完全に自動化されたカスタマイズ可能な脅威検出フレームワークは、特権アカウントの乱用、横方向への攻撃拡大、疑わしい動作など、内部の脅威とカスタムユースケース等の脅威検知に取り組みます。
ネットワーク動作分析
ユーザーとエンティティのアクティビティ、ピアグループ、内部および外部リスクパーセンタイルなどの情報を提供します。

連動する 2 つのプレミアムソリューション

Splunk ES と Splunk UBA を組み合わせることで、人駆動型ソリューションとマシン駆動型ソリューションの双方を活用でき、脅威や異常の検出と解決を行って最大の価値を得ることができます。

Splunk UBAが選ばれる理由

Splunk UBA は、人やリソースや時間の不足のため見逃しがちな脅威を発見して既存のセキュリティチームを補完するので、生産性を高めることができます。強力な機械学習フレームワーク、カスタマイズ性、幅広いユースケースへの対応により、ユーザーの行動を監視し分析を行うことで、未知の内部不正と異常な動作の自動検出が可能になります。Splunk UBA は Splunk Enterprise および Splunk Enterprise Security とをシームレスに統合し、エンド ツー エンドのインシデントやセキュリティ侵害への対応に役立ちます。


他に質問がございますか?