Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

Change Auditor Threat Detection

Microsoft環境でユーザベースのセキュリティ上の脅威をプロアクティブに検知

Change Auditor Threat Detectionは、個々のユーザ行動パターンをモデル化することで疑わしいユーザまたは危険状態のアカウントによるものと考えられる異常な行動を検知する、というユニークなアプローチでユーザ脅威を検知します。 ユーザアクティビティの分析、独自の高度な学習技術、ユーザ/エンティティ行動分析(UEBA)、高度なスコアリングアルゴリズムにより、最もリスクの高いユーザの順位付け、潜在的なユーザ脅威の特定、誤検知アラートによるノイズの削減を実現します。 ネイティブの監査ツールでは取り残されてしまう領域をカバーし、環境をセキュアに保ちます。

次のような脅威を迅速かつ容易に検知:

データの外部持ち出し

データの持ち出しや破壊を試みようとしている疑わしいユーザまたはアカウントを易に識別します。

マルウェア

マルウェアによるユーザアカウントおよび権限の乗っ取りを迅速に認識します。

特権アカウントの不正利用

ユーザ資格情報がプログラムまたはスクリプトによって収集された際に検知します。

総当たり攻撃

繰り返し発生するセキュリティイベントと関連するアラートとの相関関係から、攻撃者を識別します。

権限昇格

不適切な権限昇格を見分けられるように、イベントや関連するユーザアクティビティをハイライトします。

異常なADアクティビティ

ADにおける不審なユーザアクティビティを迅速に識別します。

ラテラルムーブメント

異常な行動パターンをユーザベースラインと比較することによって、攻撃者を検知します。

システムまたはリソースへの不適切なアクセス

ユーザが不必要なデータへのアクセスを試みた際にアラート通知します。

監査ログ分析

リアルタイム監査ログ分析

リアルタイム監査ログ分析

ADの変更、認証、ファイルに対するアクティビティなど大量の監査データを、リアルタイムで、効率的に分析します。 未処理のアクティビティイベントからユーザベースラインを構築し、ユーザの行動に異常が見られる場合にはプロアクティブに検知できるため、疑わしいアクティビティをすぐに認識することが可能です。

UEBA

自動化されたユーザ行動分析

自動化されたユーザ行動分析

管理者による入力や設定を必要とせずに、ユーザアクティビティのパターンをモデル化することができます。 ユーザ行動のベースラインは、高度な教師なし機械学習によって自動的に作成されます。ログオンパターン、管理アクティビティ、およびファイルとフォルダへのアクセスを含め、ユーザのアクティビティのあらゆる側面をモデル化します。

異常検知

精緻な異常行動検知

精緻な異常行動検知

ユーザの行動を自動で逐一ユーザ行動ベースラインと照らし合わせ、異常なユーザアクティビティを識別します。 高度な脅威の兆候の検出と複数レベルへのリスクスコアリングにより、最も重大な異常、つまり、最も危険度の高いユーザ行動のみが強調されます。

ユーザ脅威検知

パターンベースのユーザ脅威検知

パターンベースのユーザ脅威検知

特定のアクティビティを検知するためのルールに頼らずに、ユーザアクティビティが発生すると自動的に分析を行います。 高度なユーザ行動パターン検知により、最も疑わしいユーザを特定します。 高度なグローバルモデリングにより、最も重大で懸念されるユーザ行動のパターンのみが強調され、単独のアクティビティおよび誤検知によるノイズが大幅に削減されます。

セキュリティ警告

コンテキスト情報を含めたセキュリティ警告を表示

コンテキスト情報を含めたセキュリティ警告を表示

不審なユーザアクティビティについてのアラートはすべて、発見された脅威の兆候のコンテキスト情報と共に表示されます。 異常な行動はすべてユーザのベースラインアクティビティに照らして、また、アラートをトリガしたすべての未処理のイベントと共に表示されます。これにより、なぜアラートが発生したのかが明確に示され、調査と追跡が容易になります。

忠実度の高いユーザ分析

Change Auditorでは、作成した監査ログが分析されるため、環境内の脅威のプロアクティブな検知に使用されるすべての未処理のイベントデータには、誰が、何を、いつ、どこで、どのワークステーションを使用して変更したかなどの有益な情報が含まれます。 Change Auditorはユーザ行動分析に重大な情報の欠落を引き起こしかねない、ユーザによるあらゆる重要な処理を見逃しません。

手軽なユーザ脅威検知

既存のChange Auditorインフラストラクチャと監査データを活用してユーザ行動をモデル化するので、余分な手間がかかるエージェントやサーバを追加せずにすみます。 高度なユーザ脅威分析を可能にするために追加で必要なインフラストラクチャは、仮想アプライアンス1つだけです。
Stevie Awards 2018 People’s Choice受賞

Stevie Awards 2018 People’s Choice受賞

2018 Stevie AwardsのPeople’s Choice賞で、Change Auditorは最優秀ソフトウェアに選ばれたほか、2018年最優秀新製品のSilver Stevieを獲得しました。

    動的ダッシュボード

  • 動的ダッシュボードには、不審度の高いユーザ行動が表示されます。

    動的ダッシュボード
  • プロアクティブな脅威検知

  • ユーザアクティビティのリスクレベルをリアルタイムに識別して脅威を検知します。

    プロアクティブな脅威検知
  • ユーザ行動ベースライン

  • ユーザ行動をモデル化し、通常時のユーザアクティビティを表すベースラインを作成します。

    ユーザ行動ベースライン
  • 異常検知

  • すべての行動をベースラインと比較することにより、異常なアクティビティを検知します。

    異常検知
  • パターンベースの検知

  • 不審な行動パターンを検知した場合にのみ、ユーザ脅威のアラートを表示します。

    パターンベースの検知
  • コンテキスト内アラート

  • 不審なアクティビティのアラートによって、関連するすべての兆候が表示されます。

    コンテキスト内アラート
  • 自動のアラート優先順位付け

  • その環境におけるユーザのリスク度合いに基づいてアラートを優先順位付けします。

    自動のアラート優先順位付け
  • 調査の高速化

  • アラートの元となった分析の背景情報が詳細に表示されるため、調査を迅速に行えます。

    調査の高速化
  • リスクのあるユーザの詳細

  • リスクのあるユーザの詳細情報が分かるため、コンテキストの絞り込みとセキュリティ調査の高速化に役立ちます。

    リスクのあるユーザの詳細

仕様

Change Auditorコーディネータ(サーバ側)、Change Auditorクライアント(クライアント側)、Change Auditorエージェント(サーバ側)、そしてChange AuditorワークステーションおよびWebクライアント(オプションコンポーネント)には固有のシステム要件があります。 Change Auditorで監査できるすべてのコンポーネントおよびターゲットシステムのシステム要件と必要な権限の詳細なリストについては、『Change Auditor Installation Guide(Change Auditorインストールガイド)』を参照してください。

Change Auditorコーディネータは、クライアントとエージェントのリクエストの処理、およびアラートの生成を行います。

プロセッサー

クアッドコアインテル® Core™ i7(または同等以上)

メモリ

最小: 8 GB以上のRAM

推奨: 32 GB以上のRAM

SQL Server

次のバージョンまでのSQLデータベースがサポートされています。

  • Microsoft SQL Server 2012 SP4
  • Microsoft SQL Server 2014 SP3
  • Microsoft SQL Server 2016 SP2
  • Microsoft SQL Server 2017
  • Microsoft SQL Server 2019

メモ: Change Auditor、SQL Always On可用性グループ、SQLクラスタ、および行とページの圧が適用されたデータベースをサポートします。

オペレーティングシステム

インストール先のプラットフォーム(x64版)として、次のバージョンまでがサポートされています。

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

注意: Microsoft Windows Data Access Components(MDAC)が有効になっている必要があります。 (MDACは、オペレーティングシステムの一部として搭載されており、デフォルトで有効になっています)。

コーディネータのソフトウェアおよび構成

最適なパフォーマンスを実現するためのQuestからの推奨事項:

  • Change Auditorコーディネータを専用のメンバーサーバにインストールします。
  • Change Auditorデータベースは、専用の独立したSQL Serverインスタンス上に構成してください。

注意: ChangeAuditorデータベースには、事前に固定サイズを割り当てないでください。

さらに、次のソフトウェアまたは構成が必要です。

  • コーディネータでは、ローカルドメインおよびフォレスト・ルート・ドメインのすべてのドメインコントローラーに対して、LDAPおよびGCによる接続が確立されている必要があります。
  • Microsoft .NET 4.7.1(x64版)
  • Microsoft XML Parser(MSXML)6.0(x64版)
  • Microsoft SQLXML 4.0(x64版)
コーディネータの使用容量
  • ハードディスク容量: 約1 GB。
  • コーディネータのRAM使用量は、環境、エージェント接続の数、およびイベントボリュームによって大幅に異なります。
  • データベースの想定サイズは、導入されるエージェントの数およびキャプチャされる監査対象イベントの数によって異なります。

アカウントコーディネータに最低限必要なその他の権限については、『Change Auditor Installation Guide(Change Auditorインストールガイド)』を参照してください。

Change Auditor Threat Detection Serverは仮想アプライアンスで、Change Auditorからの監査ログを分析して不審なユーザ行動のパターンを検知します。 仮想アプライアンスの導入の詳細については、『Change Auditor Threat Detection Deployment Guide(Change Auditor Threat Detection導入ガイド)』を参照してください。

Microsoft Hyper-Vへの導入
  • Windows server 2016で作動しているHyper-Vホスト
  • Threat Detection serveの要件:
    • テンプレートサイズ: ~10 GB
    • CPU: 8または16コア、最低2.3 GHz、2.4 GHzを推奨
    • RAM: 64 GB
    • I/O: 500 MB/秒
    • ディスク: SAS 320 GB、SAS 930 GB
VMWare ESXへの導入
  • VMware vCenter 5.5以降によって作動しているVMWare ESXIバージョン5.5以降
  • 次のvSphereクライアントがサポートされています。
    • ESX 5.5 - vSphere Windowsクライアント
    • ESX 6.0 - vSphere Flashクライアント
    • ESX 6.5 - vSphere Flexクライアント、vSphere HTML5クライアント
  • 中小規模企業版OVA:
    • OVAファイルサイズ: ~10 GB
    • CPU: 8コア、最低2.3 GHz、2.4 GHzを推奨
    • RAM: 64 GB
    • I/O: 500 MB/秒
    • ディスク: SAS 320 GB、SAS 930 GB
  • 大規模企業版OVA:
    • OVAファイルサイズ: ~10 GB
    • CPU: 16コア、最低2.3 GHz、2.4 GHzを推奨
    • RAM: 64 GB
    • I/O: 500 MB/秒
    • ディスク: SAS 320 GB、SAS 930 GB

リソース

Change Auditor Threat Detection
データシート
Change Auditor Threat Detection
Change Auditor Threat Detection
あらゆる変更や日々のシステム修正を迅速に追跡し、確認
データシートを見る
Change Auditor Family
データシート
Change Auditor Family
Change Auditor Family
あらゆる変更や日々のシステム修正を迅速に追跡し、確認
データシートを見る
Change Auditor 7.1 – New Features
Change Auditor 7.1 – New Features

10:32

ビデオ
Change Auditor 7.1 – New Features
Explore Change Auditor’s new features, such as Golden Ticket detection & auditing Kerberos and NTLM authentication.
ビデオを観る
Office 365 and Azure AD Security Events to Monitor During the COVID-19 Crisis
電子書籍
Office 365 and Azure AD Security Events to Monitor During the COVID-19 Crisis
Office 365 and Azure AD Security Events to Monitor During the COVID-19 Crisis
Increase in remote workers means explosive adoption and utilization of Office 365 workloads such as Teams, Exchange Online, SharePoint Online and OneDrive for Business. Malicious actors can try and take advantage of distracted organizations during a global crisis, so you need to carefully monitor th
電子書籍を読む
Three ways a privileged user can hose your Active Directory
電子書籍
Three ways a privileged user can hose your Active Directory
Three ways a privileged user can hose your Active Directory
This eBook reviews insider threats and eight AD security best practices to reduce risk and recovery time.
電子書籍を読む
What is Quest Change Auditor and how does it compare to and complement Microsoft ATP and third-party SIEM solutions?
What is Quest Change Auditor and how does it compare to and complement Microsoft ATP and third-party SIEM solutions?

14:10

ビデオ
What is Quest Change Auditor and how does it compare to and complement Microsoft ATP and third-party SIEM solutions?
Hear Quest product experts, Ghazwan Khairi, Bryan Patton and Robert Tovar discuss the real-time security and IT auditing of Change Auditor and how it compares to and integrates with SIEM solutions and Microsoft Advanced Threat Protection.
ビデオを観る
ACTIVE DIRECTORY セキュリティの 9つの ベストプラクティス
電子書籍
ACTIVE DIRECTORY セキュリティの 9つの ベストプラクティス
ACTIVE DIRECTORY セキュリティの 9つの ベストプラクティス
最近の多くの大規模なデータ漏洩事件を少し掘り下げてみると、1つの共通する脅威が明らかになります。堅牢な外部セキュリティにもかかわらず、攻撃が成功したのは、多くの場合、内部セキュリティの不備が原因なのです。従業員が自身のアクセス許可を使用して意図的にデータを盗んだり、誤って危険にさらしたりする場合があります。また、外部攻撃者は盗んだ資格情報や脆弱なパスワードを利用して、一瞬にして内部攻撃者に変わります。Microsoft Active Directory(AD)はこのような攻撃者の一番の標的です。すべてのユーザの認証と承認において重要だからです。増大する実在の内部関係者による脅威から組織を守るた
電子書籍を読む
Active Directory and Azure AD Security Best Practices
電子書籍
Active Directory and Azure AD Security Best Practices
Active Directory and Azure AD Security Best Practices
Why Worry About Hybrid AD Security? A prominent Microsoft MVP explains in this eBook.
電子書籍を読む

今すぐ開始する

Microsoft環境でユーザベースのセキュ��ティ上の脅威をプロア������ィブに検知