Change Auditor Threat Detectionは、個々のユーザ行動パターンをモデル化することで疑わしいユーザまたは危険状態のアカウントによるものと考えられる異常な行動を検知する、というユニークなアプローチでユーザ脅威を検知します。 ユーザアクティビティの分析、独自の高度な学習技術、ユーザ/エンティティ行動分析(UEBA)、高度なスコアリングアルゴリズムにより、最もリスクの高いユーザの順位付け、潜在的なユーザ脅威の特定、誤検知アラートによるノイズの削減を実現します。 ネイティブの監査ツールでは取り残されてしまう領域をカバーし、環境をセキュアに保ちます。
次のような脅威を迅速かつ容易に検知:
データの外部持ち出し
データの持ち出しや破壊を試みようとしている疑わしいユーザまたはアカウントを易に識別します。
マルウェア
マルウェアによるユーザアカウントおよび権限の乗っ取りを迅速に認識します。
特権アカウントの不正利用
ユーザ資格情報がプログラムまたはスクリプトによって収集された際に検知します。
総当たり攻撃
繰り返し発生するセキュリティイベントと関連するアラートとの相関関係から、攻撃者を識別します。
権限昇格
不適切な権限昇格を見分けられるように、イベントや関連するユーザアクティビティをハイライトします。
異常なADアクティビティ
ADにおける不審なユーザアクティビティを迅速に識別します。
ラテラルムーブメント
異常な行動パターンをユーザベースラインと比較することによって、攻撃者を検知します。
システムまたはリソースへの不適切なアクセス
ユーザが不必要なデータへのアクセスを試みた際にアラート通知します。
脅威検知機能
監査ログ分析
リアルタイム監査ログ分析
ADの変更、認証、ファイルに対するアクティビティなど大量の監査データを、リアルタイムで、効率的に分析します。 未処理のアクティビティイベントからユーザベースラインを構築し、ユーザの行動に異常が見られる場合にはプロアクティブに検知できるため、疑わしいアクティビティをすぐに認識することが可能です。
UEBA
自動化されたユーザ行動分析
管理者による入力や設定を必要とせずに、ユーザアクティビティのパターンをモデル化することができます。 ユーザ行動のベースラインは、高度な教師なし機械学習によって自動的に作成されます。ログオンパターン、管理アクティビティ、およびファイルとフォルダへのアクセスを含め、ユーザのアクティビティのあらゆる側面をモデル化します。
異常検知
精緻な異常行動検知
ユーザの行動を自動で逐一ユーザ行動ベースラインと照らし合わせ、異常なユーザアクティビティを識別します。 高度な脅威の兆候の検出と複数レベルへのリスクスコアリングにより、最も重大な異常、つまり、最も危険度の高いユーザ行動のみが強調されます。
ユーザ脅威検知
パターンベースのユーザ脅威検知
特定のアクティビティを検知するためのルールに頼らずに、ユーザアクティビティが発生すると自動的に分析を行います。 高度なユーザ行動パターン検知により、最も疑わしいユーザを特定します。 高度なグローバルモデリングにより、最も重大で懸念されるユーザ行動のパターンのみが強調され、単独のアクティビティおよび誤検知によるノイズが大幅に削減されます。
セキュリティ警告
コンテキスト情報を含めたセキュリティ警告を表示
不審なユーザアクティビティについてのアラートはすべて、発見された脅威の兆候のコンテキスト情報と共に表示されます。 異常な行動はすべてユーザのベースラインアクティビティに照らして、また、アラートをトリガしたすべての未処理のイベントと共に表示されます。これにより、なぜアラートが発生したのかが明確に示され、調査と追跡が容易になります。
忠実度の高いユーザ分析
Change Auditorでは、作成した監査ログが分析されるため、環境内の脅威のプロアクティブな検知に使用されるすべての未処理のイベントデータには、誰が、何を、いつ、どこで、どのワークステーションを使用して変更したかなどの有益な情報が含まれます。 Change Auditorはユーザ行動分析に重大な情報の欠落を引き起こしかねない、ユーザによるあらゆる重要な処理を見逃しません。
手軽なユーザ脅威検知
既存のChange Auditorインフラストラクチャと監査データを活用してユーザ行動をモデル化するので、余分な手間がかかるエージェントやサーバを追加せずにすみます。 高度なユーザ脅威分析を可能にするために追加で必要なインフラストラクチャは、仮想アプライアンス1つだけです。
Stevie Awards 2018 People’s Choice受賞
2018 Stevie AwardsのPeople’s Choice賞で、Change Auditorは最優秀ソフトウェアに選ばれたほか、2018年最優秀新製品のSilver Stevieを獲得しました。
-
動的ダッシュボード
動的ダッシュボードには、不審度の高いユーザ行動が表示されます。
-
プロアクティブな脅威検知
ユーザアクティビティのリスクレベルをリアルタイムに識別して脅威を検知します。
-
ユーザ行動ベースライン
ユーザ行動をモデル化し、通常時のユーザアクティビティを表すベースラインを作成します。
-
異常検知
すべての行動をベースラインと比較することにより、異常なアクティビティを検知します。
-
パターンベースの検知
不審な行動パターンを検知した場合にのみ、ユーザ脅威のアラートを表示します。
-
コンテキスト内アラート
不審なアクティビティのアラートによって、関連するすべての兆候が表示されます。
-
自動のアラート優先順位付け
その環境におけるユーザのリスク度合いに基づいてアラートを優先順位付けします。
-
調査の高速化
アラートの元となった分析の背景情報が詳細に表示されるため、調査を迅速に行えます。
-
リスクのあるユーザの詳細
リスクのあるユーザの詳細情報が分かるため、コンテキストの絞り込みとセキュリティ調査の高速化に役立ちます。
動的ダッシュボード
プロアクティブな脅威検知
ユーザ行動ベースライン
異常検知
パターンベースの検知
コンテキスト内アラート
自動のアラート優先順位付け
調査の高速化
リスクのあるユーザの詳細
仕様
Change Auditorコーディネータ(サーバ側)、Change Auditorクライアント(クライアント側)、Change Auditorエージェント(サーバ側)、そしてChange AuditorワークステーションおよびWebクライアント(オプションコンポーネント)には固有のシステム要件があります。 Change Auditorで監査できるすべてのコンポーネントおよびターゲットシステムのシステム要件と必要な権限の詳細なリストについては、『Change Auditor Installation Guide(Change Auditorインストールガイド)』を参照してください。
Change Auditorコーディネータは、クライアントとエージェントのリクエストの処理、およびアラートの生成を行います。
- プロセッサー
クアッドコアインテル® Core™ i7(または同等以上)
- メモリ
最小: 8 GB以上のRAM
推奨: 32 GB以上のRAM
- SQL Server
次のバージョンまでのSQLデータベースがサポートされています。
- Microsoft SQL Server 2012 SP4
- Microsoft SQL Server 2014 SP3
- Microsoft SQL Server 2016 SP2
- Microsoft SQL Server 2017
- Microsoft SQL Server 2019
メモ: Change Auditor、SQL Always On可用性グループ、SQLクラスタ、および行とページの圧が適用されたデータベースをサポートします。
- オペレーティングシステム
インストール先のプラットフォーム(x64版)として、次のバージョンまでがサポートされています。
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
注意: Microsoft Windows Data Access Components(MDAC)が有効になっている必要があります。 (MDACは、オペレーティングシステムの一部として搭載されており、デフォルトで有効になっています)。
- コーディネータのソフトウェアおよび構成
最適なパフォーマンスを実現するためのQuestからの推奨事項:
- Change Auditorコーディネータを専用のメンバーサーバにインストールします。
- Change Auditorデータベースは、専用の独立したSQL Serverインスタンス上に構成してください。
注意: ChangeAuditorデータベースには、事前に固定サイズを割り当てないでください。
さらに、次のソフトウェアまたは構成が必要です。
- コーディネータでは、ローカルドメインおよびフォレスト・ルート・ドメインのすべてのドメインコントローラーに対して、LDAPおよびGCによる接続が確立されている必要があります。
- Microsoft .NET 4.7.1(x64版)
- Microsoft XML Parser(MSXML)6.0(x64版)
- Microsoft SQLXML 4.0(x64版)
- コーディネータの使用容量
- ハードディスク容量: 約1 GB。
- コーディネータのRAM使用量は、環境、エージェント接続の数、およびイベントボリュームによって大幅に異なります。
- データベースの想定サイズは、導入されるエージェントの数およびキャプチャされる監査対象イベントの数によって異なります。
アカウントコーディネータに最低限必要なその他の権限については、『Change Auditor Installation Guide(Change Auditorインストールガイド)』を参照してください。
Change Auditor Threat Detection Serverは仮想アプライアンスで、Change Auditorからの監査ログを分析して不審なユーザ行動のパターンを検知します。 仮想アプライアンスの導入の詳細については、『Change Auditor Threat Detection Deployment Guide(Change Auditor Threat Detection導入ガイド)』を参照してください。
- Microsoft Hyper-Vへの導入
- Windows server 2016で作動しているHyper-Vホスト
- Threat Detection serveの要件:
- テンプレートサイズ: ~10 GB
- CPU: 8または16コア、最低2.3 GHz、2.4 GHzを推奨
- RAM: 64 GB
- I/O: 500 MB/秒
- ディスク: SAS 320 GB、SAS 930 GB
- VMWare ESXへの導入
- VMware vCenter 5.5以降によって作動しているVMWare ESXIバージョン5.5以降
- 次のvSphereクライアントがサポートされています。
- ESX 5.5 - vSphere Windowsクライアント
- ESX 6.0 - vSphere Flashクライアント
- ESX 6.5 - vSphere Flexクライアント、vSphere HTML5クライアント
- 中小規模企業版OVA:
- OVAファイルサイズ: ~10 GB
- CPU: 8コア、最低2.3 GHz、2.4 GHzを推奨
- RAM: 64 GB
- I/O: 500 MB/秒
- ディスク: SAS 320 GB、SAS 930 GB
- 大規模企業版OVA:
- OVAファイルサイズ: ~10 GB
- CPU: 16コア、最低2.3 GHz、2.4 GHzを推奨
- RAM: 64 GB
- I/O: 500 MB/秒
- ディスク: SAS 320 GB、SAS 930 GB