UEBA カテゴリのリスク分析の概要
このドキュメントでは、UEBA 用リスク分析カテゴリのルールセットの概要、必要なデータ、各ルールセットによって生成されるアラートの調整に使用できる構成について説明します。これらのルールセットは、Google Cloud データを使用する Google Cloud 環境における脅威の特定に役立ちます。
ルールセットの説明
UEBA 向けリスク分析カテゴリでは次のルールセットを使用できます。これらのルールセットは、検出されたパターンのタイプ別にグループ化されます。
認証
- ユーザーによるデバイスへの新規ログイン: ユーザーが新しいデバイスにログインしました。
- ユーザー別の異常な認証イベント: 最近、過去の使用状況と比較して、1 つのユーザー エンティティで異常な認証イベントが発生しました。
- デバイス別の認証失敗: 最近、1 つのデバイス エンティティでログイン試行の失敗が過去の使用状況と比較して、頻繁に行われています。
- ユーザー別の認証の失敗: 過去の使用状況と比較して、1 つのユーザー エンティティで最近、ログイン試行の失敗が頻繁に発生しています。
ネットワーク トラフィックの分析
- デバイス別の異常な受信バイト数: 過去の使用状況と比較して、単一のデバイス エンティティに最近アップロードされた大量のデータ。
- 異常な送信バイト数(デバイス別): 過去の使用状況と比較して、単一のデバイス エンティティから最近ダウンロードされた大量のデータです。
- 異常な合計バイト数(デバイス別): デバイス エンティティが最近、過去の使用状況と比較して大量のデータをアップロードおよびダウンロードしました。
- ユーザー別の異常な受信バイト数: 1 つのユーザー エンティティが最近、過去の使用状況と比較して大量のデータをダウンロードしました。
- ユーザー別の異常な合計バイト数: ユーザー エンティティが最近、過去の使用状況と比較して大量のデータをアップロードおよびダウンロードしました。
- ブルート フォース後のユーザー ログイン成功: 1 つの IP アドレスからの 1 人のユーザー エンティティが、特定のアプリケーションに対する認証に複数回失敗してからログインしました。
ピアグループに基づく検出
ユーザー グループに対して以前は表示されない国からのログイン: ユーザー グループのその国から最初に成功した認証。これは、AD コンテキストデータのグループ表示名、ユーザー部門、ユーザー マネージャーの情報を使用します。
ユーザー グループの前に表示されないアプリケーションへのログイン: ユーザー グループのアプリケーションに対する最初に成功した認証。これは、AD コンテキストデータのユーザー名、ユーザー マネージャー、グループの表示名情報を使用します。
新規に作成されたユーザーの異常または過剰なログイン: 最近作成されたユーザーの異常または過剰な認証アクティビティ。これには、AD コンテキスト データからの作成時間が使用されます。
新規作成されたユーザーの異常または過剰な不審なアクティビティ: 最近作成されたユーザーの異常または過剰なアクティビティ(HTTP テレメトリー、プロセス実行、グループの変更など)。これには、AD コンテキスト データからの作成時間が使用されます。
疑わしいアクション
- デバイスによる過剰なアカウント作成: デバイス エンティティによって、複数の新しいユーザー アカウントが作成されました。
- ユーザー別の過剰なアラート: ウイルス対策デバイスまたはエンドポイント デバイスからの多数のセキュリティ アラート(接続がブロックされた、マルウェアが検出されたなど)が報告されました。これは、過去のパターンよりもはるかに大きなデータです。
security_result.actionUDM フィールドがBLOCKに設定されているイベントです。
データ損失防止に基づく検出
- データの引き出し機能による異常または過剰なプロセス: キーロガー、スクリーンショット、リモート アクセスなどのデータの引き出し機能に関連するプロセスの異常または過剰なアクティビティ。これは、VirusTotal のファイル メタデータの拡充を使用します。
UEBA カテゴリ向けリスク分析に必要なデータ
次のセクションでは、各カテゴリのルールセットで最大の利点を得るために必要なデータについて説明します。サポートされているすべてのデフォルト パーサーのリストについては、サポートされているログタイプとデフォルト パーサーをご覧ください。
認証
これらのルールセットのいずれかを使用するには、Azure AD ディレクトリ監査(AZURE_AD_AUDIT)または Windows イベント(WINEVTLOG)からログデータを収集します。
ネットワーク トラフィックの分析
これらのルールセットのいずれかを使用するには、ネットワーク アクティビティをキャプチャするログデータを収集します。例: FortiGate(FORTINET_FIREWALL)、Check Point(CHECKPOINT_FIREWALL)、Zscaler(ZSCALER_WEBPROXY)、CrowdStrike Falcon(CS_EDR)、Carbon Black(CB_EDR)などのデバイスから。
ピアグループに基づく検出
これらのルールセットのいずれかを使用するには、Azure AD ディレクトリ監査(AZURE_AD_AUDIT)または Windows イベント(WINEVTLOG)からログデータを収集します。
疑わしいアクション
このグループのルールセットはそれぞれ、異なる種類のデータを使用しています。
デバイス ルールセットによる過剰なアカウント作成
このルールセットを使用するには、Azure AD ディレクトリ監査(AZURE_AD_AUDIT)または Windows イベント(WINEVTLOG)からログデータを収集します。
ユーザー ルールセットによる過剰なアラート
このルールセットを使用するには、CrowdStrike Falcon(CS_EDR)、Carbon Black(CB_EDR)、Azure AD ディレクトリ監査(AZURE_AD_AUDIT)によって記録されたエンドポイントアクティビティや監査データなど、エンドポイントのアクティビティをキャプチャするログデータを収集します。
データ損失防止に基づく検出
これらのルールセットを使用するには、CrowdStrike Falcon(CS_EDR)、Carbon Black(CB_EDR)、SentinelOne EDR(SENTINEL_EDR)などで記録されたプロセスとファイル アクティビティをキャプチャするログデータを収集します。
このカテゴリのルールセットは、PROCESS_LAUNCH、PROCESS_OPEN、PROCESS_MODULE_LOAD の metadata.event_type 値を持つイベントに依存します。
ルールセットによって返されるアラートの調整
ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。
ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。これを行う方法については、ルール除外を構成するをご覧ください。