Change Auditor Threat Detection
Game over for rogue users with Change Auditor Threat Detection
Microsoft環境向けのプロアクティブなユーザ脅威検知
Change Auditor Threat Detectionは、個々のユーザ行動パターンをモデル化することで疑わしいユーザまたは危険状態のアカウントによるものと考えられる異常な行動を検知する、というユニークなアプローチでユーザ脅威を検知します。 ユーザアクティビティの分析、独自の高度な学習技術、ユーザ/エンティティ行動分析(UEBA)、および高度なスコアリングアルゴリズムにより、最もリスクの高いユーザの順位付け、潜在的なユーザ脅威の特定、誤検知アラートによるノイズの削減を実現します。 そして最終的にネイティブ監視ツールには欠落していた部分を克服できるため、環境を安全に保つことが可能となります。
次のような脅威を迅速かつ容易に検知:
データ持ち出し
ユーザやアカウントの感染に起因するデータの持ち出しや破壊の試みを、容易に識別します。
マルウェア
マルウェアが、ユーザアカウントと権限を乗っ取ろうとするのを、迅速に認識します。
特権アカウントのミスユース
プログラムまたはスクリプトがユーザ資格情報を取得した際に検知します。
ブルートフォース攻撃
繰り返し発生するセキュリティイベントと関連するアラートとの相関関係から、攻撃者を識別します。
権限昇格
イベントや関連するユーザ処理をハイラ<��トすることにより、不適切な権限昇格を見分けられるようにします。
異常なADアクティビティ
ADにおける不審なユーザアクティビティを、迅速に識別します。
ラテラルムーブメント
異常な行動パターンをユーザベースラインと比較することによって、攻撃者を検知します。
システムまたはリソースへの不適切なアクセス
ユーザが不必要なデータへのアクセスを試みた際にアラートを出します。
Change Auditor Threat Detectionの機能:
- ユーザ行動パターンに基づいてプロアクティブに脅威を検知
- ルールベースの脅威検知がもたらす大量のアラートを削減
- ユーザ行動のベースラインに照らして、ユーザの異常な行動を容易に検知
- セキュリティアラートはコンテキスト情報を含めて表示されるため、重要度の判断が容易
- 既存の監査データに基づいて脅威を特定し、インフラストラクチャへの影響を最小化
機能
リアルタイム監査ログ分析
ADの変更、認証、およびファイルアクティビティをはじめとする大量の監査データを、リアルタイムで効率的に分析できます。 未処理のアクティビティイベントからユーザベースラインを構築し、ユーザの行動に異常が見られる場合にはプロアクティブに検知できるため、疑わしいアクティビティをすぐに認識することが可能です。
自動化されたユーザ行動分析(UEBA)
管理者による入力や設定を必要とせずに、ユーザアクティビティのパターンをモデル化することができます。 ユーザ行動のベースラインは、高度な教師なし機械学習によって自動的に作成されます。ログオンパターン、管理アクティビティ、およびファイルとフォルダへのアクセスを含め、ユーザのアクティビティのあらゆる側面をモデル化します。
高度な異常行動検知
各ユーザが行った処理を自動的にユーザごとのベースラインに照らして比較することで、異常なユーザアクティビティを特定できます。 高度な脅威の兆候の検出と複数レベルへのリスクスコアリングにより、最も重大な異常、つまり、最も危険度の高いユーザ行動のみが強調されます。
パターンベースのユーザ脅威検知
SMARTユーザ脅威アラートは、相関性のある異常なユーザ行動のパターンが検知された場合にのみ発生します。 ルールに基づいて特定のアクティビティを検知するのではなく、すべてのユーザアクティビティを発生中に自動的に分析し、高度なユーザ行動パターン検知を通じて環境内における最も疑わしいユーザを特定できます。 高度なグローバルモデリングにより、最も重大で懸念されるユーザ行動のパターンのみが強調され、単独のアクティビティおよび誤検知によるノイズが大幅に削減されます。
忠実度の高いユーザ分析
Change Auditorでは、作成した監査ログが分析されるため、環境内の脅威のプロアクティブな検知に使用されるすべての未処理のイベントデータには、次に示すような有益な情報がはじめから含まれます。
- 変更者
- 変更の対象
- 変更日時
- 変更箇所
- 変更元のIPアドレスまたはワークステーション
Windowsのネイティブ・イベント・ログとは異なり、Change Auditorは見逃せばユーザ行動分析に重大な情報の欠落を引き起こしかねない、ユーザによる重要な処理を見逃しません。
コンテキスト情報を含めたセキュリティアラート
すべての疑わしいユーザ・アクティビティ・アラートを、該当するアラートの一環として検出された脅威の兆候との相関性とあわせて確認できます。 異常な行動はすべてユーザのベースラインアクティビティに照らして、また、アラートをトリガしたすべての未処理のイベントと共に表示されます。これにより、なぜアラートが発生したのかが明確に示され、調査と追跡が容易になります。
軽量なユーザ脅威検知
既存のChange Auditorインフラストラクチャと監査データを活用してユーザ行動をモデル化できるため、不必要に重くて扱いづらいエージェントやサーバを追加導入する必要はありません。 高度なユーザ脅威分析を可能にするために追加で必要なインフラストラクチャは、仮想アプライアンス1つだけです。
スクリーンショット
動的ダッシュボード
プロアクティブな脅威検知
ユーザ行動ベースライン
異常検知
パターンベースの検知
コンテキスト内アラート
自動のアラート優先順位付け
調査の高速化
仕様
Change Auditorコーディネータ(サーバ側)、Change Auditorクライアント(クライアント側)、Change Auditorエージェント(サーバ側)、そしてChange AuditorワークステーションおよびWebクライアント(オプションコンポーネント)には固有のシステム要件があります。 Change Auditorで監査できるすべてのコンポーネントおよびターゲットシステムのシステム要件と必要な権限の詳細なリストについては、『Change Auditorインストールガイド』(英語版)を参照してください。
ChangeAuditorコーディネータは、クライアントとエージェントのリクエストの処理、およびアラートの生成を行います。
- プロセッサー
クアッドコアインテル® Core™ i7(または同等以上)
- メモリ
最小: 8 GB以上のRAM
推奨: 32 GB以上のRAM
- SQL Server
次のバージョンまでのSQLデータベースがサポートされています。
- Microsoft SQL Server 2008 R2 SP3
- Microsoft SQL Server 2012 SP4
- Microsoft SQL Server 2014 SP2
- Microsoft SQL Server 2016 SP1
- Microsoft SQL Server 2017
注意: ChangeAuditorは、SQLのクラスタ以外の高可用性テクノロジーをサポートしていません。
- オペレーティングシステム
インストール先のプラットフォーム(x64版)として、次のバージョンまでがサポートされています。
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
注意: Microsoft Windows Data Access Components(MDAC)が有効になっている必要があります。 (MDACは、オペレーティングシステムの一部として搭載されており、デフォルトで有効になっています)。
- コーディネータのソフトウェアと構成
最適なパフォーマンスを実現するためのQuestからの推奨事項:
- Change Auditorコーディネータを専用のメンバーサーバにインストールします。
- Change Auditorデータベースは、専用の独立したSQL Serverインスタンス上に構成してください。
注意: Change Auditorデータベースには、事前に固定サイズを割り当てないでください。
さらに、次のソフトウェアまたは構成が必要です。
- コーディネータでは、ローカルドメインおよびフォレスト・ルート・ドメインのすべてのドメインコントローラーに対して、LDAPおよびGCによる接続が確立されている必要があります。
- Microsoft .NET 4.6.1(x64版)
- Microsoft XML Parser(MSXML)6.0(x64版)
- Microsoft SQLXML 4.0(x64版)
- コーディネータの使用容量
- ハードディスク容量: 約1 GB。
- コーディネータのRAM使用量は、環境、エージェント接続の数、およびイベントボリュームによって大幅に異なります。
- データベースの想定サイズは、導入されるエージェントの数およびキャプチャされる監査対象イベントの数によって異なります。
アカウントコーディネータに最低限必要なその他の権限については、『Change Auditorインストールガイド』(英語版)を参照してください。
Change Auditor Threat Detectionサーバは、高度な機械学習とユーザ/エンティティ行動分析(UEBA)を用いてChange Auditorによって作成された監査ログを分析します。 仮想アプライアンス(OVAファイル)形式での納品となります。
- VMWare ESXバージョン5.5以降
- 中小規模企業版OVA:
- CPU: 8コア、最低2.3 GHz、2.4 GHzを推奨
- RAM: 64 GB
- I/O: 500 MB/秒
- ディスク: SAS 320 GB、SAS 930 GB
- 大規模企業版OVA:
- CPU: 16コア、最低2.3 GHz、2.4 GHzを推奨
- RAM: 64 GB
- I/O: 500 MB/秒
- ディスク: SAS 320 GB、SAS 930 GB
Threat Detectionサーバ用の静的IPアドレスを取得し、そのDNS(A)レコードを追加します。
リソース
Change Auditor Threat Detection
あらゆる変更や日々のシステム修正を迅速に追跡し、確認
ユーザ行動分析に基づいて 内部関係者による脅威に対応
内部関係者による脅威を検知するにあたっての課題、ルールおよびパターンベースの脅威検知ソリューションのメリットとデメリットを確認します。
大惨事に至る前に 内部関係者による 脅威を発見する方法
Change Auditor Threat Detectionは、AD監査データから扱いやすい数のSMARTアラートだけを抽出し、パターンベース手法で最もリスクの高いユーザをハイライトします
Change Auditor Threat Detectionのメカニズム
高度な機械学習、ユーザとエンティティの行動分析(UEBA)、SMART相関テクノロジーを使用して組織内部のリスクを識別し、データ漏洩を防止します。
インサイダー脅威を 軽減する方法
お使いの環境を保護するベストプラクティス、そして実践ツール
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
NIST cybersecurity framework enables organizations to create a secure environment. Learn how to apply this framework to your AD and Microsoft environment.
Three ways a privileged user can hose your Active Directory
This eBook reviews insider threats and eight AD security best practices to reduce risk and recovery time.
次のステップへ
関連製品
Change Auditor for Active Directory
あらゆる変更や日々のシステム修正を迅速に追跡し、確認
Change Auditor for Logon Activity
セキュリティおよびコンプライアンスに関するクリティカルな質問への回答
Change Auditor for Windows File Servers
Windowsファイルサーバーのリアルタイムなシステム変更のすべてを追跡、監視し、レポートを受信
Change Auditor for NetApp
NetApp Filerの変更監視および監査ツール
Change Auditor for EMC
お使いのEMC NASデバイスに関するファイルアクティビティと権限に関連する全イベントを監査
Change Auditor for Fluid FS
お使いのFluidFS NASデバイスに関するファイルアクティビティと許可に関連する全イベントを監査。