UEBA カテゴリのリスク分析の概要
このドキュメントでは、UEBA 向けリスク分析カテゴリのルールセットの概要、必要なデータ、各ルールセットによって生成されたアラートの調整に使用できる構成について説明します。これらのルールセットは、Google Cloud データを使用する Google Cloud 環境における脅威の特定に役立ちます。
ルールセットの説明
Risk Analytics for UEBA カテゴリでは以下のルールセットが利用可能で、検出されたパターンの種類別にグループ化されます。
認証
- ユーザーによるデバイスへの新規ログイン: ユーザーが新しいデバイスにログインしました。
- ユーザー別の異常な認証イベント: 単一のユーザー エンティティに、過去の使用状況と比較して異常な認証イベントが最近発生しました。
- デバイス別の認証失敗: 1 つのデバイス エンティティで、過去の使用状況と比較して、最近ログイン試行の失敗が頻繁に発生しています。
- ユーザー別の認証の失敗: 1 人のユーザーが、過去の使用状況と比較して、最近ログイン試行の失敗が頻繁に行われています。
ネットワーク トラフィックの分析
- デバイス別の異常受信バイト数: 過去の使用状況と比較して、最近単一のデバイス エンティティにアップロードされた大量のデータ。
- デバイス別の異常送信バイト数: 過去の使用状況と比較して、1 つのデバイス エンティティから最近ダウンロードされた大量のデータ。
- デバイス別の異常合計バイト数: 最近の使用状況と比較して、大量のデータをアップロードおよびダウンロードしたデバイス エンティティ。
- ユーザー別の異常受信バイト数: 単一のユーザー エンティティが最近、過去の使用状況と比較して大量のデータをダウンロードしました。
- ユーザー別の異常合計バイト数: ユーザー エンティティが最近、過去の使用状況と比較して大量のデータをアップロードおよびダウンロードしました。
- ブルート フォースの後、ユーザーごとのログインに成功: 1 つの IP アドレスから、あるユーザー エンティティが、正常にログインする前に特定のアプリケーションに対する認証が複数回失敗しました。
ピアグループに基づく検出
ユーザー グループでこれまでにない国からのログイン: ユーザー グループの国から最初に成功した認証。これは、AD コンテキストデータのグループ表示名、ユーザー部門、ユーザー マネージャーの情報を使用します。
ユーザー グループで見たことのないアプリケーションへのログイン: ユーザー グループのアプリケーションに対する最初の認証。これは、AD コンテキストデータのユーザー名、ユーザー マネージャー、グループの表示名情報を使用します。
新規作成されたユーザーの異常または過剰なログイン: 最近作成されたユーザーの異常または過剰な認証アクティビティ。これは AD コンテキスト データの作成時間を使用します。
新規作成されたユーザーの異常または過剰な不審なアクティビティ: 最近作成されたユーザーの異常または過剰なアクティビティ(HTTP テレメトリー、プロセス実行、グループの変更など)。AD コンテキスト データの作成時間が使用されます。
疑わしいアクション
- デバイスによる過剰なアカウント作成: デバイス エンティティが複数の新しいユーザー アカウントを作成しました。
- ユーザー別の過剰なアラート: ウイルス対策デバイスまたはエンドポイント デバイスからの多数のセキュリティ アラート(接続がブロックされた、マルウェアが検出されたなど)が報告されました。これは、過去のパターンよりもはるかに大きなデータです。これは、
security_result.actionUDM フィールドがBLOCKに設定されているイベントです。
データ損失防止に基づく検出
- データの引き出し機能による異常または過剰なプロセス: キーロガー、スクリーンショット、リモート アクセスなど、データの引き出し機能に関連するプロセスの異常または過剰なアクティビティ。これは、VirusTotal のファイルメタデータの拡充を使用します。
リスク分析で UEBA カテゴリに必要な必要なデータ
次のセクションでは、各カテゴリのルールセットで最大の利点を得るために必要なデータについて説明します。サポートされているすべてのデフォルト パーサーのリストについては、サポートされているログタイプとデフォルト パーサーをご覧ください。
認証
これらのルールセットのいずれかを使用するには、Azure AD ディレクトリ監査(AZURE_AD_AUDIT)または Windows イベント(WINEVTLOG)からログデータを収集します。
ネットワーク トラフィックの分析
これらのルールセットのいずれかを使用するには、ネットワーク アクティビティをキャプチャするログデータを収集します。例: FortiGate(FORTINET_FIREWALL)、Check Point(CHECKPOINT_FIREWALL)、Zscaler(ZSCALER_WEBPROXY)、CrowdStrike Falcon(CS_EDR)、Carbon Black(CB_EDR)などのデバイスから。
ピアグループに基づく検出
これらのルールセットのいずれかを使用するには、Azure AD ディレクトリ監査(AZURE_AD_AUDIT)または Windows イベント(WINEVTLOG)からログデータを収集します。
疑わしいアクション
このグループのルールセットはそれぞれ、異なる種類のデータを使用します。
デバイス ルールセットによる過剰なアカウント作成
このルールセットを使用するには、Azure AD ディレクトリ監査(AZURE_AD_AUDIT)または Windows イベント(WINEVTLOG)からログデータを収集します。
ユーザー ルールセットによる過剰なアラート
このルールセットを使用するには、CrowdStrike Falcon(CS_EDR)、Carbon Black(CB_EDR)、Azure AD ディレクトリ監査(AZURE_AD_AUDIT)によって記録されたエンドポイントアクティビティや監査データなど、エンドポイントのアクティビティをキャプチャするログデータを収集します。
データ損失防止に基づく検出
これらのルールセットを使用するには、CrowdStrike Falcon(CS_EDR)、Carbon Black(CB_EDR)、SentinelOne EDR(SENTINEL_EDR)などで記録されたプロセスとファイル アクティビティをキャプチャするログデータを収集します。
このカテゴリのルールセットは、metadata.event_type の値(PROCESS_LAUNCH、PROCESS_OPEN、PROCESS_MODULE_LOAD)を持つイベントに依存します。
ルールセットから返されるアラートの調整
ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。
ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。これを行う方法については、ルール除外を構成するをご覧ください。