マシン学習を使用した内部脅威からの防御

Splunk User Behavior Analytics(Splunk® UBA)は、ユーザー、端末デバイス、アプリケーションで未知の脅威や異常な動作を検出するために必要な答えを提供する、マシン学習によるソリューションです。外部の攻撃だけでなく、内部の脅威にも注力します。そのマシン学習アルゴリズムは、セキュリティオペレーションセンター(SOC)のアナリストが迅速対応するためにもつ既存の技術を強化し、リスク評価と裏づけとなる根拠を伴った実用的な結果を生成します。さらに、セキュリティアナリストや脅威ハンターの視覚転換のポイントとなり、異常な動作を積極的に調査します。

Splunk User Behavior Analytics ソフト:

  • 監視されていないアルゴリズムを活用する、動作中心、専用、設定可能なマシン学習フレームワークを使用して、検出フットプリントを強化します
  • 何百もの異常を1つの脅威に自動的にまとめることで、SOC アナリストのユーザーおよびエンティティ行動分析(UEBA)能力を強化します 
  • 複数の攻撃段階で脅威を可視化し、強化されたコンテキストを提供します
  • データ取り込みと関連付けの Splunk Enterprise と、またインシデントスコープ、調査、自動応答の Splunk Enterprise Security(ES)との双方向の統合をサポートします
始めましょう
  • 製品ブリーフ Splunk User Behavior Analytics
  • テクニカル ブリーフ Splunk® User Behavior Analytics を使用
  • Splunk UBA 使用事例 内部脅威
  • Splunk UBA 使用事例 外部脅威
  • Splunk UBA アニメーションビデオ
    外からの攻撃および内部脅威を検出
  • 451 影響調査 Splunk でマシン学習がマシンデータ解析に組み込まれます

User Behavior Analytics 製品ツアー

Splunk User Behavior Analytics の主要な特徴

ビッグデータ基盤

ビッグデータ基盤(Hadoop、Spark、GraphDB)

ビッグデータ基盤で構築された Splunk UBA は、1日に数十億のイベントを処理ができるよう水平方向に拡張し、数十万の組織的エンティティの分析をサポートします。
マシン学習

無人マシン学習

専用の無人マシン学習アルゴリズムは偽陽性の生成を削減し、幅広く網羅し、信頼性の高い結果を出し、インシデント応答と脅威の追跡を助けます。
多次元動作の基準

多次元動作の基準

確率的接尾辞木などの動作基準を用いた履歴とリアルタイムデータは、複数の時系列でカウントすることで、外れ値の特定に役立ち、組織メトリックを可視化します。
脅威レビューおよび検証

カスタム脅威の生成

基礎となるマシン学習フレームワークをカスタマイズして、関心の異常をまとめ、きめ細かな管理を通じてカスタム使用事例に対処します。
モニタリング

ユーザーモニタリングとウォッチリスト

すばやく簡単なアクセスを可能にするカスタムウィジェットまたは臨機応変なウォッチリストを使用して、ユーザーとその活動をモニタリングします。
抑制

異常の抑制とスコアリング

カスタムスコアを適用し、トリガされる異常を抑制することで、検出された異常の優先順位化を行い、高く忠実な脅威を得ます。

Splunk エンタープライズと Splunk エンタープライズセキュリティを使用する双方向の統合

データ分析に使用する Splunk Enterprise とのシームレスな統合。 Splunk Enterprise Security への異常と脅威のリアルタイム転送とセットで、信頼性の高いアラートを持つ組織がセキュリティの位置を視覚的に洞察し、応答を自動化するのに役立ちます。 
 

Splunk ユーザー行動分析使用事例

次の使用事例で Splunk UBA を使います。

データ引き出しの検知
データ損失防止(DLP)アラート、クラウドアクセスセキュリティブローカー(CASB)ログ、ネットワークトラフィックデータまたはその両方に注力するなど、組織内の資産またはユーザーからのデータ引き出しの証拠をすばやく特定します。
特権乱用を含む内部アクセス悪用
データへの過度のアクセスや未承認のアクセス、システム特権の悪用に発展する特権乱用ユーザー(従業員と信頼できる第三者の両方)を特定します。
調査用の文脈と情報の提供
ユーザーおよびエンティティの動作分析、異常および脅威の情報を提供して、アラートの優先順位決定およびインシデントの調査を実行します。
Detectcompromisedendpoint
侵害されたエンドポイントを検出
侵害されている、マルウェアに感染している、または疑わしい動作をしているネットワークエンドポイントを特定し、アプリケーションの誤用や悪用の洞察を得ます。
Customusecase
カスタム使用事例
独自のリスクスコアと復旧アクションを重ねながら、カスタム異常モデルで新しい使用事例を列挙します。

Splunk ユーザー動作分析で利用可能なワークフロー

Splunk® UBA はキルチェーンの脅威および異常を位置づけ、セキュリティアナリストの必要性を指摘し、多様なワークフローを動作させます。
異常検証
完全に自動化されたカスタマイズ可能な異常検出フレームワークにより、ハンターはマシン学習の結果を探索し、重大な違反を特定し、疑わしいパターンを見つけることができます。
脅威検出
完全に自動化されたカスタマイズ可能な異常検出フレームワークは、特権アカウントの乱用、横方向移動、疑わしい動作など、内部の脅威とカスタムの使用事例に対処します。
ネットワーク動作分析
ユーザーとエンティティのアクティビティ、ピアグループ、内部および外部リスクパーセントなどの情報を得ます。

連動する2つのプレミアムソリューション

Splunk ES と Splunk UBA を組み合わせることで、組織は人駆動型ソリューションとマシン駆動型ソリューションの力を通して、脅威と異常を検出、解決する最大の価値を得ることができます。

Splunk のユーザーおよびエンティティの動作分析が選ばれる理由

Splunk UBA で既存のセキュリティチームが強化され、人、資源、時間の不足によって見逃しがちな脅威を発見することで、生産性を高めることができます。強力なマシン学習フレームワーク、カスタマイズ、幅広い使用事例により、未知の脅威と異常な動作の自動検出が可能になります。Splunk UBA は Splunk Enterprise および Splunk Enterprise Security とシームレスに統合し、隅々のインシデントまたは違反の解決に役立ちます。

エキスパートに聞く

Anurag Gurtu

環境や要件についてご不明な点がおありですか?ご質問を送信していただければ、迅速に回答いたします。

お問い合わせ
ヴィー・リーエキスパート