Webサイトを快適にご利用いただくためには、IE10以降、Chrome、Firefox、またはSafariをご使用ください。

Change Auditor Threat Detection

権限のないユーザのアクティビティをChange Auditor Threat Detectionで検知

Microsoft環境向けのプロアクティブなユーザ脅威検知

Change Auditor Threat Detectionは、個々のユーザ行動パターンをモデル化することで疑わしいユーザまたは危険状態のアカウントによるものと考えられる異常な行動を検知する、というユニークなアプローチでユーザ脅威を検知します。ユーザアクティビティの分析、独自の高度な学習技術、ユーザ/エンティティ行動分析（UEBA）、および高度なスコアリングアルゴリズムにより、最もリスクの高いユーザの順位付け、潜在的なユーザ脅威の特定、誤検知アラートによるノイズの削減を実現します。そして最終的にネイティブ監視ツールには欠落していた部分を克服できるため、環境を安全に保つことが可能となります。

無料トライアルをダウンロード今すぐお問い合わせ

機能
スクリーンショット
仕様
リソース

機能

リアルタイム監査ログ分析

ADの変更、認証、およびファイルアクティビティをはじめとする大量の監査データを、リアルタイムで効率的に分析できます。未処理のアクティビティイベントからユーザベースラインを構築し、ユーザの行動に異常が見られる場合にはプロアクティブに検知できるため、疑わしいアクティビティをすぐに認識することが可能です。

自動化されたユーザ行動分析（UEBA）

管理者による入力や設定を必要とせずに、ユーザアクティビティのパターンをモデル化することができます。ユーザ行動のベースラインは、高度な教師なし機械学習によって自動的に作成されます。ログオンパターン、管理アクティビティ、およびファイルとフォルダへのアクセスを含め、ユーザのアクティビティのあらゆる側面をモデル化します。

高度な異常行動検知

各ユーザが行った処理を自動的にユーザごとのベースラインに照らして比較することで、異常なユーザアクティビティを特定できます。高度な脅威の兆候の検出と複数レベルへのリスクスコアリングにより、最も重大な異常、つまり、最も危険度の高いユーザ行動のみが強調されます。

忠実度の高いユーザ分析

Change Auditorでは、作成した監査ログが分析されるため、環境内の脅威のプロアクティブな検知に使用されるすべての未処理のイベントデータには、次に示すような有益な情報がはじめから含まれます。

変更者
変更の対象
変更日時
変更箇所
変更元のIPアドレスまたはワークステーション

Windowsのネイティブ・イベント・ログとは異なり、Change Auditorは見逃せばユーザ行動分析に重大な情報の欠落を引き起こしかねない、ユーザによる重要な処理を見逃しません。

パターンベースのユーザ脅威検知

SMARTユーザ脅威アラートは、相関性のある異常なユーザ行動のパターンが検知された場合にのみ発生します。ルールに基づいて特定のアクティビティを検知するのではなく、すべてのユーザアクティビティを発生中に自動的に分析し、高度なユーザ行動パターン検知を通じて環境内における最も疑わしいユーザを特定できます。高度なグローバルモデリングにより、最も重大で懸念されるユーザ行動のパターンのみが強調され、単独のアクティビティおよび誤検知によるノイズが大幅に削減されます。

コンテキスト情報を含めたセキュリティアラート

既存のChange Auditorインフラストラクチャと監査データを活用してユーザ行動をモデル化できるため、不必要に重くて扱いづらいエージェントやサーバを追加導入する必要はありません。高度なユーザ脅威分析を可能にするために追加で必要なインフラストラクチャは、仮想アプライアンス1つだけです。

スクリーンショット

動的ダッシュボード

動的ダッシュボードには、不審度の高いユーザ行動が表示されます。

プロアクティブな脅威検知

ユーザアクティビティのリスクレベルをリアルタイムに識別して脅威を検知します。

ユーザ行動ベースライン

ユーザ行動をモデル化し、通常時のユーザ行動を表すベースラインを作成します。

異常検知

すべての行動をベースラインと比較することにより、異常なアクティビティを検知します。

パターンベースの検知

行動のパターンを検知した場合にのみ、ユーザ脅威のアラートを表示します。

コンテキスト内アラート

不審なアクティビティのアラートは、関連するすべての兆候を含めて表示されます。

自動のアラート優先順位付け

その環境におけるユーザのリスク度合いに基づいてアラートを優先順位付けします。

調査の高速化

アラートの元となった分析の背景情報が詳細に表示されるため、調査を迅速に行えます。

無料トライアルをダウンロード今すぐお問い合わせ

仕様

Change Auditorシステム要件

Change Auditorコーディネータ（サーバ側）、Change Auditorクライアント（クライアント側）、Change Auditorエージェント（サーバ側）、そしてChange AuditorワークステーションおよびWebクライアント（オプションコンポーネント）には固有のシステム要件があります。 Change Auditorで監査できるすべてのコンポーネントおよびターゲットシステムのシステム要件と必要な権限の詳細なリストについては、『Change Auditorインストールガイド』（英語版）を参照してください。

ChangeAuditorコーディネータの要件（サーバ側コンポーネント）

ChangeAuditorコーディネータは、クライアントとエージェントのリクエストの処理、およびアラートの生成を行います。

プロセッサー: クアッドコアインテル? Core? i7（または同等以上）

メモリ: 最小: 8 GB以上のRAM
推奨: 32 GB以上のRAM

SQL Server

次のバージョンまでのSQLデータベースがサポートされています。

Microsoft SQL Server 2008 R2 SP3
Microsoft SQL Server 2012 SP4
Microsoft SQL Server 2014 SP2

Microsoft SQL Server 2016 SP2
Microsoft SQL Server 2017

注意: Change Auditorは、SQL AlwaysOn可用性グループおよびSQL Clustersをサポートしています。

オペレーティングシステム

インストール先のプラットフォーム（x64版）として、次のバージョンまでがサポートされています。

Windows Server 2008 R2 SP1
Windows Server 2012
Windows Server 2012 R2

Windows Server 2016
Windows Server 2019

注意: Microsoft Windows Data Access Components（MDAC）が有効になっている必要があります。（MDACは、オペレーティングシステムの一部として搭載されており、デフォルトで有効になっています）。

コーディネータのソフトウェアおよび構成

最適なパフォーマンスを得るための推奨事項:

Change Auditorコーディネータを専用のメンバーサーバにインストールします。

Change Auditorデータベースは、専用の独立したSQL Serverインスタンス上に構成してください。

注意: Change Auditorデータベースには、事前に固定サイズを割り当てないでください。

また、次のソフトウェアまたは構成が必要です。

コーディネータでは、ローカルドメインおよびフォレスト・ルート・ドメインのすべてのドメインコントローラーに対して、LDAPおよびGCによる接続が確立されている必要があります。
Microsoft .NET 4.6.1（x64版）

Microsoft XML Parser（MSXML）6.0（x64版）
Microsoft SQLXML 4.0（x64版）

コーディネータの使用容量

ハードディスク容量: 約1?GB
コーディネータのRAM使用量は、環境、エージェント接続の数、およびイベントボリュームによって大幅に異なります。

データベースの想定サイズは、導入されるエージェントの数およびキャプチャされる監査対象イベントの数によって異なります。

Change Auditor Threat Detection Serverの要件

Change Auditor Threat Detection Serverは仮想アプライアンスで、Change Auditorからの監査ログを分析して不審なユーザ行動のパターンを検知します。仮想アプライアンスの導入の詳細については、『Change Auditor Threat Detection Deployment Guide（Change Auditor Threat Detection導入ガイド）』を参照してください。

Microsoft Hyper-Vへの導入