Webサイトを快適にご利用いただくためには、IE10以降、Chrome、Firefox、またはSafariをご使用ください。

Change Auditor Threat Detection

Microsoft環境でユーザベースのセキュリティ上の脅威をプロアクティブに検知

Change Auditor Threat Detectionは、個々のユーザ行動パターンをモデル化することで疑わしいユーザまたは危険状態のアカウントによるものと考えられる異常な行動を検知する、というユニークなアプローチでユーザ脅威を検知します。 ユーザアクティビティの分析、独自の高度な学習技術、ユーザ/エンティティ行動分析(UEBA)、高度なスコアリングアルゴリズムにより、最もリスクの高いユーザの順位付け、潜在的なユーザ脅威の特定、誤検知アラートによるノイズの削減を実現します。 ネイティブの監査ツールでは取り残されてしまう領域をカバーし、環境をセキュアに保ちます。

次のような脅威を迅速かつ容易に検知:

データの外部持ち出し

データの持ち出しや破壊を試みようとしている疑わしいユーザまたはアカウントを容易に識別します。

マルウェア

マルウェアによるユーザアカウントおよび権限の乗っ取りを迅速に認識します。

特権アカウントの不正利用

ユーザ資格情報がプログラムまたはスクリプトによって収集された際に検知します。

総当たり攻撃

繰り返し発生するセキュリティイベントと関連するアラートとの相関関係から、攻撃者を識別します。

権限昇格

不適切な権限昇格を見分けられるように、イベントや関連するユーザアクティビティをハイライトします。

異常なADアクティビティ

ADにおける不審なユーザアクティビティを迅速に識別します。

ラテラルムーブメント

異常な行動パターンをユーザベースラインと比較することによって、攻撃者を検知します。

システムまたはリソースへの不適切なアクセス

ユーザが不必要なデータへのアクセスを試みた際にアラート通知します。

脅威検知機能

監査ログ分析

リアルタイム監査ログ分析

ADの変更、認証、ファイルに対するアクティビティなど大量の監査データを、リアルタイムで、効率的に分析します。 未処理のアクティビティイベントからユーザベースラインを構築し、ユーザの行動に異常が見られる場合にはプロアクティブに検知できるため、疑わしいアクティビティをすぐに認識することが可能です。

UEBA

自動化されたユーザ行動分析

管理者による入力や設定を必要とせずに、ユーザアクティビティのパターンをモデル化することができます。 ユーザ行動のベースラインは、高度な教師なし機械学習によって自動的に作成されます。ログオンパターン、管理アクティビティ、およびファイルとフォルダへのアクセスを含め、ユーザのアクティビティのあらゆる側面をモデル化します。

異常検知

精緻な異常行動検知

ユーザの行動を自動で逐一ユーザ行動ベースラインと照らし合わせ、異常なユーザアクティビティを識別します。 高度な脅威の兆候の検出と複数レベルへのリスクスコアリングにより、最も重大な異常、つまり、最も危険度の高いユーザ行動のみが強調されます。

ユーザ脅威検知

パターンベースのユーザ脅威検知

特定のアクティビティを検知するためのルールに頼らずに、ユーザアクティビティが発生すると自動的に分析を行います。 高度なユーザ行動パターン検知により、最も疑わしいユーザを特定します。 高度なグローバルモデリングにより、最も重大で懸念されるユーザ行動のパターンのみが強調され、単独のアクティビティおよび誤検知によるノイズが大幅に削減されます。

セキュリティ警告

コンテキスト情報を含めたセキュリティ警告を表示

不審なユーザアクティビティについてのアラートはすべて、発見された脅威の兆候のコンテキスト情報と共に表示されます。 異常な行動はすべてユーザのベースラインアクティビティに照らして、また、アラートをトリガしたすべての未処理のイベントと共に表示されます。これにより、なぜアラートが発生したのかが明確に示され、調査と追跡が容易になります。

忠実度の高いユーザ分析

Change Auditorでは、作成した監査ログが分析されるため、環境内の脅威のプロアクティブな検知に使用されるすべての未処理のイベントデータには、誰が、何を、いつ、どこで、どのワークステーションを使用して変更したかなどの有益な情報が含まれます。 Change Auditorはユーザ行動分析に重大な情報の欠落を引き起こしかねない、ユーザによるあらゆる重要な処理を見逃しません。

手軽なユーザ脅威検知

既存のChange Auditorインフラストラクチャと監査データを活用してユーザ行動をモデル化するので、余分な手間がかかるエージェントやサーバを追加せずにすみます。 高度なユーザ脅威分析を可能にするために追加で必要なインフラストラクチャは、仮想アプライアンス1つだけです。
Stevie Awards 2018 People’s Choice受賞

Stevie Awards 2018 People’s Choice受賞

2018 Stevie Award’s People Choice賞で、ChangeAuditorは最優秀ソフトウェアに選ばれたほか、2018年最優秀新製品のSilver Stevieを獲得しました。

    動的ダッシュボード

  • 動的ダッシュボードには、不審度の高いユーザ行動が表示されます。

  • プロアクティブな脅威検知

  • ユーザアクティビティのリスクレベルをリアルタイムに識別して脅威を検知します。

  • ユーザ行動ベースライン

  • ユーザ行動をモデル化し、通常時のユーザアクティビティを表すベースラインを作成します。

  • 異常検知

  • すべての行動をベースラインと比較することにより、異常なアクティビティを検知します。

  • パターンベースの検知

  • 不審な行動パターンを検知した場合にのみ、ユーザ脅威のアラートを表示します。

  • コンテキスト内アラート

  • 不審なアクティビティのアラートによって、関連するすべての兆候が表示されます。

  • 自動のアラート優先順位付け

  • その環境におけるユーザのリスク度合いに基づいてアラートを優先順位付けします。

  • 調査の高速化

  • アラートの元となった分析の背景情報が詳細に表示されるため、調査を迅速に行えます。

  • リスクのあるユーザの詳細

  • リスクのあるユーザの詳細情報が分かるため、コンテキストの絞り込みとセキュリティ調査の高速化に役立ちます。

仕様

Change Auditorコーディネータ(サーバ側)、Change Auditorクライアント(クライアント側)、Change Auditorエージェント(サーバ側)、そしてChange AuditorワークステーションおよびWebクライアント(オプションコンポーネント)には固有のシステム要件があります。 Change Auditorで監査できるすべてのコンポーネントおよびターゲットシステムのシステム要件と必要な権限の詳細なリストについては、『Change Auditor Installation Guide(Change Auditorインストールガイド)』を参照してください。

Change Auditorコーディネータは、クライアントとエージェントのリクエストの処理、およびアラートの生成を行います。

プロセッサー

クアッドコアインテル® Core™ i7(または同等以上)

メモリ

最小: 8 GB以上のRAM

推奨: 32 GB以上のRAM

SQL Server

次のバージョンまでのSQLデータベースがサポートされています。

  • Microsoft SQL Server 2012 SP4
  • Microsoft SQL Server 2014 SP3
  • Microsoft SQL Server 2016 SP2
  • Microsoft SQL Server 2017

注意: Change AuditorはSQL AlwaysOn可用性グループ、およびSQL Clustersをサポートしています。

オペレーティングシステム

インストール先のプラットフォーム(x64版)として、次のバージョンまでがサポートされています。

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

注意: Microsoft Windows Data Access Components(MDAC)が有効になっている必要があります。 (MDACは、オペレーティングシステムの一部として搭載されており、デフォルトで有効になっています)。

コーディネータのソフトウェアおよび構成

最適なパフォーマンスを実現するためのQuestからの推奨事項:

  • Change Auditorコーディネータを専用のメンバーサーバにインストールします。
  • Change Auditorデータベースは、専用の独立したSQL Serverインスタンス上に構成してください。

注意: ChangeAuditorデータベースには、事前に固定サイズを割り当てないでください。

さらに、次のソフトウェアまたは構成が必要です。

  • コーディネータでは、ローカルドメインおよびフォレスト・ルート・ドメインのすべてのドメインコントローラーに対して、LDAPおよびGCによる接続が確立されている必要があります。
  • Microsoft .NET 4.6.1(x64版)
  • Microsoft XML Parser(MSXML)6.0(x64版)
  • Microsoft SQLXML 4.0(x64版)
コーディネータの使用容量
  • ハードディスク容量: 約1 GB。
  • コーディネータのRAM使用量は、環境、エージェント接続の数、およびイベントボリュームによって大幅に異なります。
  • データベースの想定サイズは、導入されるエージェントの数およびキャプチャされる監査対象イベントの数によって異なります。

アカウントコーディネータに最低限必要なその他の権限については、『Change Auditor Installation Guide(Change Auditorインストールガイド)』を参照してください。

Change Auditor Threat Detection Serverは仮想アプライアンスで、Change Auditorからの監査ログを分析して不審なユーザ行動のパターンを検知します。 仮想アプライアンスの導入の詳細については、『Change Auditor Threat Detection Deployment Guide(Change Auditor Threat Detection導入ガイド)』を参照してください。

Microsoft Hyper-Vへの導入
  • Windows server 2016で作動しているHyper-Vホスト
  • Threat Detection serveの要件:
    • テンプレートサイズ: ~10 GB
    • CPU: 8または16コア、最低2.3 GHz、2.4 GHzを推奨
    • RAM: 64 GB
    • I/O: 500 MB/秒
    • ディスク: SAS 320 GB、SAS 930 GB
VMWare ESXへの導入
  • VMware vCenter 5.5以降によって作動しているVMWare ESXIバージョン5.5以降
  • 次のvSphereクライアントがサポートされています。
    • ESX 5.5 - vSphere Windowsクライアント
    • ESX 6.0 - vSphere Flashクライアント
    • ESX 6.5 - vSphere Flexクライアント、vSphere HTML5クライアント
  • 中小規模企業版OVA:
    • OVAファイルサイズ: ~10 GB
    • CPU: 8コア、最低2.3 GHz、2.4 GHzを推奨
    • RAM: 64 GB
    • I/O: 500 MB/秒
    • ディスク: SAS 320 GB、SAS 930 GB
  • 大規模企業版OVA:
    • OVAファイルサイズ: ~10 GB
    • CPU: 16コア、最低2.3 GHz、2.4 GHzを推奨
    • RAM: 64 GB
    • I/O: 500 MB/秒
    • ディスク: SAS 320 GB、SAS 930 GB

リソース

Change Auditor Threat Detection
データシート
Change Auditor Threat Detection
Change Auditor Threat Detection
あらゆる変更や日々のシステム修正を迅速に追跡し、確認
データシートを見る
Microsoft ATA and Azure ATP – How they fit in your defense in depth security strategy?
ウェブキャストオンデマンド
Microsoft ATA and Azure ATP – How they fit in your defense in depth security strategy?
Microsoft ATA and Azure ATP – How they fit in your defense in depth security strategy?

According to the 2018 Verizon Data Breach Investigations Report, 68% of investigated data breaches went undetected for 60 or more days. Fortunately, platform providers, such as Microsoft, are

ウェブキャストを見る
セキュリティ戦略に適して いるAzure ATPとはどのよ うなものでしょうか?
ホワイトペーパー
セキュリティ戦略に適して いるAzure ATPとはどのよ うなものでしょうか?
セキュリティ戦略に適して いるAzure ATPとはどのよ うなものでしょうか?

脅威を迅速に検知して対応できることは、セキュリティと法令順守の両方に欠かせません。しかし、それはたやすい作業ではありません。一方には、高度な攻撃で次から次へとネットワークを攻撃してくるハッカーがいます。またもう一方には、内部の脅威が既に存在します。盗まれた資格情報を使う部外者から、悪意のあるユーザ、入力ミスをするユーザまで脅威はさまざまです。

このホワイトペーパーは、いずれの面に

ホワイトペーパーを読む
大惨事に至る前に 内部関係者による 脅威を発見する方法
電子書籍
大惨事に至る前に 内部関係者による 脅威を発見する方法
大惨事に至る前に 内部関係者による 脅威を発見する方法
Change Auditor Threat Detectionは、AD監査データから扱いやすい数のSMARTアラートだけを抽出し、パターンベース手法で最もリスクの高いユーザをハイライトします
電子書籍を読む
ユーザ行動分析に基づいて 内部関係者による脅威に対応
ホワイトペーパー
ユーザ行動分析に基づいて 内部関係者による脅威に対応
ユーザ行動分析に基づいて 内部関係者による脅威に対応
内部関係者による脅威を検知するにあたっての課題、ルールおよびパターンベースの脅威検知ソリューションのメリットとデメリットを確認します。
ホワイトペーパーを読む
Change Auditor Threat Detectionのメカニズム
テクニカル・ブリーフ
Change Auditor Threat Detectionのメカニズム
Change Auditor Threat Detectionのメカニズム
高度な機械学習、ユーザとエンティティの行動分析(UEBA)、SMART相関テクノロジーを使用して組織内部のリスクを識別し、データ漏洩を防止します。
テクニカル・ブリーフを読む
Introducing Change Auditor Threat Detection
Introducing Change Auditor Threat Detection

04:11

ビデオ
Introducing Change Auditor Threat Detection
Be proactive about detecting potential insider threats and anomalous activity by modeling user behavior through unsupervised machine learning.
ビデオを観る
Three ways a privileged user can hose your Active Directory
電子書籍
Three ways a privileged user can hose your Active Directory
Three ways a privileged user can hose your Active Directory
This eBook reviews insider threats and eight AD security best practices to reduce risk and recovery time.
電子書籍を読む

今すぐ開始する

Microsoft環境でユーザベースのセキュリティ上の脅威をプロアクティブに検知