製品に関するお知らせ
UEBAがEnterprise Securityのネイティブ機能に
Splunk Enterprise Security (ES)の統合SecOpsプラットフォームが実現するまったく新しいエクスペリエンスは、エージェント型AI、SOAR、UEBA、SIEMとシームレスに連携しています。
security
ユーザーとエンティティの行動分析(UEBA)
ユーザーとエンティティの行動を分析して、未知の脅威からシステムを保護します。
内部脅威をプロアクティブに検出して緩和
行動ベースのアノマリ検出と機械学習によって、ユーザーやエンティティの行動のわずかな逸脱も検出します。これにより、アカウントの不正使用、認証情報の悪用、ラテラルムーブメントなどの内部脅威を早期に発見して無効化できます。
ユーザーとエンティティのリスクインテリジェンスで、セキュリティの可視性を向上
ユーザー、デバイス、アプリケーション全体で行動データを集約し、相関付けを行うことで、エンティティリスクスコアを算出します。セキュリティチームは総合的なリスク情報とコンテキストインテリジェンス(背景情報を踏まえた分析)を手にして新たな脅威の全体像を把握できるため、優先順位を的確に判断し、効果的に対応できます。
脅威検出と優先順位付けの自動化によるSOC効率の最適化
ノイズをフィルタリングし、脅威のスコアリングと優先順位付けを自動化することで、過剰なアラートを抑制し、SOCワークフローを効率化します。これによってアナリストは特に重大なリスクの分析に集中できるようになるため、調査とインシデント対応におけるスピードと精度が向上します。
特長
最先端の脅威を検出
行動分析と機械学習
ユーザーやエンティティの正常な行動を継続的に学習し、ベースラインを設定することで、内部脅威や高度な攻撃を示唆するわずかな逸脱も検出します。この適応型の機械学習により、従来のルールベースのツールでは見逃されていたリスクも発見できるため、プロアクティブな脅威検出が可能となります。
エンティティリスクのスコアリングと集約
複数ソースのリスクシグナルを集約し、ユーザーまたはエンティティごとに単一の実用的なリスクスコアを算出します。動的スコアリングによる脅威の優先順位付けが的確に行われることで、過剰なアラートが抑制され、SOCチームは特に重大なリスクへの対応に集中しやすくなります。
複数のエンティティにわたる相関付け
ユーザー、デバイス、エンドポイント、クラウドアプリケーションを横断して行動を相関付けすることで、複数のシステムに展開される高度な脅威を検出します。ラテラルムーブメントや権限悪用などの複雑な攻撃パターンも検出します。
コンテキストインテリジェンスを活用したリアルタイムのリスク分析
リスク分析に際して、アラートの詳細なメタデータ、ピアグループの比較結果、過去の行動コンテキストを利用できるため、より的確に状況を把握できます。また、脅威タイムラインやリスクヒートマップによって情報が効果的に可視化されるため、意思決定のスピードと信頼性も向上します。
脅威検出と優先順位付けの自動化
複数の機械学習モデルを活用し、新たな脅威の監視と検出を継続的に行います。手動での介入は不要です。また、リスクレベルに基づいてセキュリティイベントに自動で優先順位を付けるため、SOCワークフローを効率化し、インシデント対応を迅速化できます。
Splunk Enterprise Securityとのシームレスな統合
UEBA機能がSplunkのセキュリティエコシステムにネイティブ統合され、検出、調査、対応ワークフローが一元化されました。この統合によってUEBAの行動インサイトとSIEMの相関付けルールが結び付けられ、インシデント情報が一元化されるとともにSOCの生産性も向上します。
リソース
その他の情報
UEBAに関するよくある質問
UEBAは、「User and Entity Behavior Analytics (ユーザーとエンティティの行動分析)」の略で、機械学習を使って、ユーザー、デバイス、アプリケーションの挙動を分析し、内部脅威、アカウント乗っ取り、ラテラルムーブメント(横展開)、データ窃取、その他の高度な脅威が発生している可能性を示す不自然なアクティビティや異常なアクティビティを検出する技術です。正常な挙動のベースラインを設定し、そこからの逸脱を特定することで、セキュリティに関する実用的なインサイトを提供し、大量アラートの発生を抑制します。UEBAを導入すれば、コンテキスト豊富なインテリジェンスとリアルタイムのリスクスコアを活用して調査を円滑に行うことで、SOC業務全体を効率化できます。
Splunk Enterprise Security (ES) PremierにはUEBAがネイティブに統合されています。UEBAは、すべてのユーザー、デバイス、クラウドアプリケーション、セキュリティ層のリスクを集約し、ユーザーの行動に焦点を当てた、包括的なリスクスコアを提供します。この統合により、インシデントの一元管理、アラートへのコンテキストの補強、エンドツーエンドの調査ワークフローの構築が可能になり、Splunk ESプラットフォームでの脅威の検出、調査、対応能力を向上させることができます。
UEBAは、Splunk Enterprise Security Premierエディションに組み込まれています。スタンドアロン製品や、Splunk Enterprise Security Essentialsのアドオンとしては利用できません。UEBAの高度な行動分析機能を使用したい場合は、ES Premierエディションを購入するか、ES Premierエディションにアップグレードする必要があります。
UEBAでは、ユーザーアカウントの乗っ取り(認証情報の窃取や不正利用)、アカウントの不正使用(不注意または故意による権限の不正使用)、システム間のラテラルムーブメント、クラウドストレージ、USB、メール、ネットワーク経由でのデータ窃取、コンピューターのマルウェア感染、設定されたベースラインから逸脱した未知の行動や不審な行動など、内部脅威と高度な脅威を幅広く検出できます。
Splunk UBA (ユーザー行動分析)は、スタンドアロンのレガシー製品で、Splunk ESと連携しますが、管理やワークフローは独立しています。Splunk UBAは、2025年12月に販売が終了し、サポートは2027年1月に終了します。一方、UEBAは、Splunk ES Premierのネイティブ機能であり、調査ワークフローに統合されています。高度な教師なし機械学習機能を備え、これまでよりも幅広いエンティティ(ユーザー、デバイス、クラウド、アプリケーション)を対象とした行動分析とリアルタイムでのリスクスコアリングが可能です。UEBAは、Splunk UBAに比べて、統合性と効率性に優れ、より強力なセキュリティ運用エクスペリエンスを提供します。
