Change Auditor Threat Detection

Game over for rogue users with Change Auditor Threat Detection

Microsoft環境向けのプロアクティブなユーザ脅威検知

Change Auditor Threat Detectionは、個々のユーザ行動パターンをモデル化することで疑わしいユーザまたは危険状態のアカウントによるものと考えられる異常な行動を検知する、というユニークなアプローチでユーザ脅威を検知します。ユーザアクティビティの分析、独自の高度な学習技術、ユーザ/エンティティ行動分析（UEBA）、および高度なスコアリングアルゴリズムにより、最もリスクの高いユーザの順位付け、潜在的なユーザ脅威の特定、誤検知アラートによるノイズの削減を実現します。そして最終的にネイティブ監視ツールには欠落していた部分を克服できるため、環境を安全に保つことが可能となります。

無料トライアルをダウンロード

機能
スクリーンショット
仕様
リソース

機能

リアルタイム監査ログ分析

ADの変更、認証、およびファイルアクティビティをはじめとする大量の監査データを、リアルタイムで効率的に分析できます。未処理のアクティビティイベントからユーザベースラインを構築し、ユーザの行動に異常が見られる場合にはプロアクティブに検知できるため、疑わしいアクティビティをすぐに認識することが可能です。

自動化されたユーザ行動分析（UEBA）

管理者による入力や設定を必要とせずに、ユーザアクティビティのパターンをモデル化することができます。ユーザ行動のベースラインは、高度な教師なし機械学習によって自動的に作成されます。ログオンパターン、管理アクティビティ、およびファイルとフォルダへのアクセスを含め、ユーザのアクティビティのあらゆる側面をモデル化します。

高度な異常行動検知

各ユーザが行った処理を自動的にユーザごとのベースラインに照らして比較することで、異常なユーザアクティビティを特定できます。高度な脅威の兆候の検出と複数レベルへのリスクスコアリングにより、最も重大な異常、つまり、最も危険度の高いユーザ行動のみが強調されます。

パターンベースのユーザ脅威検知

SMARTユーザ脅威アラートは、相関性のある異常なユーザ行動のパターンが検知された場合にのみ発生します。ルールに基づいて特定のアクティビティを検知するのではなく、すべてのユーザアクティビティを発生中に自動的に分析し、高度なユーザ行動パターン検知を通じて環境内における最も疑わしいユーザを特定できます。高度なグローバルモデリングにより、最も重大で懸念されるユーザ行動のパターンのみが強調され、単独のアクティビティおよび誤検知によるノイズが大幅に削減されます。

忠実度の高いユーザ分析

Change Auditorでは、作成した監査ログが分析されるため、環境内の脅威のプロアクティブな検知に使用されるすべての未処理のイベントデータには、次に示すような有益な情報がはじめから含まれます。

変更者
変更の対象
変更日時
変更箇所
変更元のIPアドレスまたはワークステーション

Windowsのネイティブ・イベント・ログとは異なり、Change Auditorは見逃せばユーザ行動分析に重大な情報の欠落を引き起こしかねない、ユーザによる重要な処理を見逃しません。

コンテキスト情報を含めたセキュリティアラート

すべての疑わしいユーザ・アクティビティ・アラートを、該当するアラートの一環として検出された脅威の兆候との相関性とあわせて確認できます。異常な行動はすべてユーザのベースラインアクティビティに照らして、また、アラートをトリガしたすべての未処理のイベントと共に表示されます。これにより、なぜアラートが発生したのかが明確に示され、調査と追跡が容易になります。

軽量なユーザ脅威検知

既存のChange Auditorインフラストラクチャと監査データを活用してユーザ行動をモデル化できるため、不必要に重くて扱いづらいエージェントやサーバを追加導入する必要はありません。高度なユーザ脅威分析を可能にするために追加で必要なインフラストラクチャは、仮想アプライアンス1つだけです。

スクリーンショット

動的ダッシュボード

動的ダッシュボードには、不審度の高いユーザ行動が表示されます。

プロアクティブな脅威検知

ユーザアクティビティのリスクレベルをリアルタイムに識別して脅威を検知します。

ユーザ行動ベースライン

ユーザ行動をモデル化し、通常時のユーザ行動を表すベースラインを作成します。

異常検知

すべての行動をベースラインと比較することにより、異常なアクティビティを検知します。

パターンベースの検知

行動のパターンを検知した場合にのみ、ユーザ脅威のアラートを表示します。

コンテキスト内アラート

不審なアクティビティのアラートは、関連するすべての兆候を含めて表示されます。

自動のアラート優先順位付け

その環境におけるユーザのリスク度合いに基づいてアラートを優先順位付けします。

調査の高速化

アラートの元となった分析の背景情報が詳細に表示されるため、調査を迅速に行えます。

無料トライアルをダウンロード

仕様

Change Auditorシステム要件

Change Auditorコーディネータ（サーバ側）、Change Auditorクライアント（クライアント側）、Change Auditorエージェント（サーバ側）、そしてChange AuditorワークステーションおよびWebクライアント（オプションコンポーネント）には固有のシステム要件があります。 Change Auditorで監査できるすべてのコンポーネントおよびターゲットシステムのシステム要件と必要な権限の詳細なリストについては、『Change Auditorインストールガイド』（英語版）を参照してください。

Change Auditorコーディネータの要件（サーバ側コンポーネント）

ChangeAuditorコーディネータは、クライアントとエージェントのリクエストの処理、およびアラートの生成を行います。

プロセッサー: クアッドコアインテル® Core™ i7（または同等以上）

メモリ: 最小: 8 GB以上のRAM
推奨: 32 GB以上のRAM

SQL Server

次のバージョンまでのSQLデータベースがサポートされています。

Microsoft SQL Server 2008 R2 SP3
Microsoft SQL Server 2012 SP4
Microsoft SQL Server 2014 SP2

Microsoft SQL Server 2016 SP1
Microsoft SQL Server 2017

注意: ChangeAuditorは、SQLのクラスタ以外の高可用性テクノロジーをサポートしていません。

オペレーティングシステム

インストール先のプラットフォーム（x64版）として、次のバージョンまでがサポートされています。

Windows Server 2008 R2 SP1
Windows Server 2012

Windows Server 2012 R2
Windows Server 2016

注意: Microsoft Windows Data Access Components（MDAC）が有効になっている必要があります。（MDACは、オペレーティングシステムの一部として搭載されており、デフォルトで有効になっています）。

コーディネータのソフトウェアと構成

最適なパフォーマンスを実現するためのQuestからの推奨事項:

Change Auditorコーディネータを専用のメンバーサーバにインストールします。

Change Auditorデータベースは、専用の独立したSQL Serverインスタンス上に構成してください。

注意: Change Auditorデータベースには、事前に固定サイズを割り当てないでください。

さらに、次のソフトウェアまたは構成が必要です。

コーディネータでは、ローカルドメインおよびフォレスト・ルート・ドメインのすべてのドメインコントローラーに対して、LDAPおよびGCによる接続が確立されている必要があります。
Microsoft .NET 4.6.1（x64版）

Microsoft XML Parser（MSXML）6.0（x64版）
Microsoft SQLXML 4.0（x64版）

コーディネータの使用容量

ハードディスク容量: 約1 GB。
コーディネータのRAM使用量は、環境、エージェント接続の数、およびイベントボリュームによって大幅に異なります。
データベースの想定サイズは、導入されるエージェントの数およびキャプチャされる監査対象イベントの数によって異なります。

アカウントコーディネータに最低限必要なその他の権限については、『Change Auditorインストールガイド』（英語版）を参照してください。

Change Auditor Threat Detectionサーバ（サーバ側コンポーネント）

Change Auditor Threat Detectionサーバは、高度な機械学習とユーザ/エンティティ行動分析（UEBA）を用いてChange Auditorによって作成された監査ログを分析します。仮想アプライアンス（OVAファイル）形式での納品となります。

VMWare ESXバージョン5.5以降
中小規模企業版OVA:
- CPU: 8コア、最低2.3 GHz、2.4 GHzを推奨
- RAM: 64 GB
- I/O: 500 MB/秒
- ディスク: SAS 320 GB、SAS 930 GB

大規模企業版OVA:
- CPU: 16コア、最低2.3 GHz、2.4 GHzを推奨
- RAM: 64 GB
- I/O: 500 MB/秒
- ディスク: SAS 320 GB、SAS 930 GB

Threat Detectionサーバ用の静的IPアドレスを取得し、そのDNS（A）レコードを追加します。

リソース

データシート

Change Auditor Threat Detection

あらゆる変更や日々のシステム修正を迅速に追跡し、確認

ホワイトペーパー

ユーザ行動分析に基づいて内部関係者による脅威に対応

内部関係者による脅威を検知するにあたっての課題、ルールおよびパターンベースの脅威検知ソリューションのメリットとデメリットを確認します。

電子書籍

大惨事に至る前に内部関係者による脅威を発見する方法

Change Auditor Threat Detectionは、AD監査データから扱いやすい数のSMARTアラートだけを抽出し、パターンベース手法で最もリスクの高いユーザをハイライトします

テクニカル・ブリーフ

Change Auditor Threat Detectionのメカニズム

高度な機械学習、ユーザとエンティティの行動分析（UEBA）、SMART相関テクノロジーを使用して組織内部のリスクを識別し、データ漏洩を防止します。

電子書籍

インサイダー脅威を軽減する方法

お使いの環境を保護するベストプラクティス、そして実践ツール

ホワイトペーパー

Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework

NIST cybersecurity framework enables organizations to create a secure environment. Learn how to apply this framework to your AD and Microsoft environment.

電子書籍

Three ways a privileged user can hose your Active Directory

This eBook reviews insider threats and eight AD security best practices to reduce risk and recovery time.

オンラインイベント

Les neuf menaces d’origine interne les plus fréquentes et comment les détecter

N'attendez plus : découvrez comment une détection proactive des menaces peut sauver votre environnement.Les violations de données et les risques sont à un niveau recordVous devez mettre en &oelig;uvre une détection proactive des menaces Les fuites de données et les menaces à la cybersécurité sont à leur plus haut niveau. Les menaces internes, qu'elles soient malveillantes ou accident

次のステップへ

無料トライアルをダウンロード

Change Auditor Threat Detection

Microsoft環境向けのプロアクティブなユーザ脅威検知

次のような脅威を迅速かつ容易に検知:

データ持ち出し

マルウェア

特権アカウントのミスユース

ブルートフォース攻撃

権限昇格

異常なADアクティビティ

ラテラルムーブメント

システムまたはリソースへの不適切なアクセス