organization内での異常な動作の検出は、多くの場合、複雑で時間がかかります。 Microsoft Sentinelの User and Entity Behavior Analytics (UEBA) は、データから継続的に学習し、アナリストが潜在的な脅威をより効果的に検出して調査するのに役立つ意味のある異常を表示することで、この課題を簡素化します。
この記事では、User and Entity Behavior Analytics (UEBA) Microsoft Sentinelの概要、動作方法、オンボード方法、UEBA を使用して異常を検出して調査して脅威検出機能を強化する方法について説明します。
UEBA のしくみ
MICROSOFT SENTINEL UEBA では、機械学習を使用して、ユーザー、ホスト、IP アドレス、アプリケーション、およびその他のエンティティの動的な動作プロファイルを構築します。 その後、現在のアクティビティを確立されたベースラインと比較することで異常を検出し、セキュリティ チーム が侵害されたアカウント、 インサイダー攻撃、 横移動などの脅威を特定するのに役立ちます。
接続されたソースからデータを取り込むMicrosoft Sentinel、UEBA は次の処理を適用します。
- 逸脱を検出するための行動モデリング
- 異常なアクティビティの影響を評価するためのピア グループ分析とブラスト半径の評価
UEBA は、関連するエンティティ、異常の重大度、コンテキストを考慮して、異常な動作に リスク スコア を割り当てます。
- 地理的な場所、デバイス、環境間の偏差
- エンティティの履歴動作と比較した時間とアクティビティの頻度の変化
- ピア グループとの違い
- organization全体の動作パターンからの逸脱
次の図は、UEBA を有効にする方法と、UEBA がデータを分析し、 リスク スコア を割り当てて調査の優先順位を付ける方法を示しています。
UEBA テーブルの詳細については、「 UEBA データを使用して異常を調査する」を参照してください。
UEBA が検出する異常の詳細については、「Microsoft Sentinel 機械学習エンジンによって検出された異常」を参照してください。
UEBA は、Microsoft SentinelとMicrosoft Defender ポータルにネイティブに統合されており、セキュリティ運用チームと組み込みエクスペリエンスにシームレスなエクスペリエンスを提供し、脅威の調査と対応を強化します。
UEBA を有効にして動作プロファイルを作成し、異常を検出する
UEBA の高度な脅威検出機能を最大限に活用するには:
Microsoft Sentinelで UEBA を有効にし、Microsoft Entra ID、Defender for Identity、Office 365などの主要なデータ ソースを接続します。 詳細については、「 エンティティの動作分析を有効にする」を参照してください。
UEBA Essentials ソリューションをインストールします。これは、Microsoft のセキュリティエキスパートによってキュレーションおよび管理されている、数十の事前構築済みハンティング クエリのコレクションです。 このソリューションには、Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP)、Okta にわたるマルチクラウド異常検出クエリが含まれています。 ソリューションをインストールすると、これらの検出機能をゼロから構築するのではなく、UEBA データを使用して脅威ハンティングと調査をすばやく開始できます。
Microsoft Sentinel ソリューションのインストールの詳細については、「Microsoft Sentinel ソリューションのインストールまたは更新」を参照してください。
UEBA 分析情報を ブック、インシデント ワークフロー、ハンティング クエリに統合して、SOC ワークフロー全体でその価値を最大化します。
UEBA データを使用して異常を調査する
Microsoft Sentinelは、UEBA 分析情報を複数のテーブルに格納し、それぞれが異なる目的に合わせて最適化されています。 アナリストは通常、これらのテーブル間でデータを関連付けて、エンドツーエンドの異常な動作を調査します。
次の表に、各 UEBA テーブルのデータの概要を示します。
| Table | 用途 | キーの詳細 |
|---|---|---|
| IdentityInfo | エンティティの詳細なプロファイル (ユーザー、デバイス、グループ) | Microsoft Entra IDから構築され、必要に応じてMicrosoft Defender for Identityを介してオンプレミスの Active Directory。 ユーザーの動作を理解するために不可欠です。 |
| BehaviorAnalytics | 位置情報と脅威インテリジェンスを使用したエンリッチされた行動データ | 優先順位付けスコアを使用したベースラインからの逸脱が含まれます。 データは、有効なコネクタ (Entra ID、AWS、GCP、Okta など) に依存します。 |
| UserPeerAnalytics | 動作ベースラインの動的に計算されたピア グループ | セキュリティ グループのメンバーシップ、メーリング リスト、およびその他の関連付けに基づいて上位 20 位のピアをランク付けします。 TF-IDF (用語の頻度-逆のドキュメントの頻度) アルゴリズムを使用します (小さいグループの方が重みが大きくなります)。 |
| 異常 | 異常として識別されるイベント | 検出と調査のワークフローをサポートします。 |
| SentinelBehaviorInfo | 生ログで識別される動作の概要 | 生のセキュリティ ログを、自然言語の説明と MITRE ATT&CK マッピングを使用して構造化された "誰が誰に何をしたか" の概要に変換します。 |
| SentinelBehaviorEntities | 識別された動作に関連するエンティティのプロファイル | 検出された動作に関連するエンティティ (ファイル、プロセス、デバイス、ユーザーなど) に関する情報。 |
注:
UEBA 動作レイヤーは、UEBA とは別に有効にする個別の機能です。
SentinelBehaviorInfoテーブルとSentinelBehaviorEntities テーブルは、動作レイヤーを有効にした場合にのみワークスペースに作成されます。
このスクリーンショットは、ユーザー Kendall Collins の上位 8 つのピアを持つ UserPeerAnalytics テーブル内のデータの例を示しています。 Sentinelでは、TF-IDF アルゴリズムを使用して、ピアランクを計算するときに重みを正規化します。 小さいグループは、より高い重量を運びます。
UEBA データとその使用方法の詳細については、次を参照してください。
- すべての UEBA 関連のテーブルとフィールドの詳細なリファレンスの UEBA リファレンス。
- UEBA が検出する異常の一覧について、Microsoft Sentinel 機械学習エンジンによって検出された異常。
UEBA スコアリング
UEBA は、セキュリティ チームが調査の優先順位を付け、異常を効果的に検出するのに役立つ 2 つのスコアを提供します。
| 側面 | 調査の優先度スコア | 異常スコア |
|---|---|---|
| 表 | BehaviorAnalytics |
Anomalies |
| Field | InvestigationPriority |
AnomalyScore |
| Range | 0–10 (0 = 良性、10 = 非常に異常) |
0–1 (0 = 良性、1 = 非常に異常) |
| のインジケーター | プロファイル駆動ロジックに基づく 1 つのイベントの異常 | 機械学習を使用した複数のイベントにわたる全体的な異常な動作 |
| 使用目的 | 1 つのイベントへの迅速なトリアージとドリルイン | 時間の経過に伴うパターンと集計された異常の識別 |
| 処理 | ほぼリアルタイムのイベント レベル | バッチ処理、動作レベル |
| 計算方法 | エンティティ異常スコア (ユーザー、デバイス、国/地域などのエンティティの希少性) と時系列スコア (失敗したサインインの急増など、時間の経過に伴う異常なパターン) を組み合わせます。 | ワークスペースのテレメトリでトレーニングされた AI/ML 異常検出機能 |
たとえば、ユーザーが初めてAzure操作を実行するとします。
- 調査の優先順位スコア: 初めてのイベントであるため、高いです。
- 異常スコア:低。これは、初回のAzureアクションが一般的であり、本質的に危険ではないためです。
これらのスコアはさまざまな目的を果たしますが、ある程度の相関関係が期待できます。 高い異常スコアは、多くの場合、調査の優先度が高いと一致しますが、常にとは限りません。 各スコアは、階層化された検出に固有の分析情報を提供します。
Defender ポータルで埋め込み UEBA エクスペリエンスを使用する
調査グラフとユーザー ページの異常を表示し、アナリストにハンティング クエリに異常データを組み込むように促すことで、UEBA は脅威検出の高速化、よりスマートな優先順位付け、より効率的なインシデント対応を容易にします。
このセクションでは、Microsoft Defender ポータルで使用できる主な UEBA アナリスト エクスペリエンスについて説明します。
UEBA ホーム ページ ウィジェット
Defender ポータルのホーム ページには UEBA ウィジェットが含まれています。アナリストは、異常なユーザーの動作をすぐに把握できるため、脅威検出ワークフローを高速化できます。 テナントがまだ UEBA にオンボードされていない場合、このウィジェットは、セキュリティ管理者にオンボード プロセスへのクイック アクセスも提供します。
ユーザー調査における UEBA 分析情報
アナリストは、サイド パネルに表示される UEBA コンテキストと、Defender ポータルのすべてのユーザー ページの [ 概要 ] タブを使用して、ユーザー リスクをすばやく評価できます。 異常な動作が検出されると、ポータルは UEBA 異常 でユーザーに自動的にタグを付け、最近のアクティビティに基づいて調査の優先順位を付けます。 詳細については、Microsoft Defenderのユーザー エンティティ ページに関するページを参照してください。
各ユーザー ページには、過去 30 日間の上位 3 つの異常と、事前に構築された異常クエリへの直接リンクと、より詳細な分析のためにタイムラインSentinel イベントが表示された上位 UEBA 異常セクションが含まれています。
![過去 30 日間の UEBA 異常があるユーザーの [ユーザー] ページの [概要] タブを示すスクリーンショット。](media/identify-threats-with-entity-behavior-analytics/entity-behavior-analytics-user-investigations.png#lightbox)
インシデント調査での組み込みのユーザー異常クエリ
インシデント調査中に、アナリストは Defender ポータルのインシデント グラフから組み込みのクエリを直接起動して、ケースに関連するすべてのユーザーの異常を取得できます。
![インシデント グラフを示すスクリーンショット。[Go hunt All user anomalies]\(すべてのユーザーの異常を検索する\) オプションが強調表示されています。これにより、アナリストはユーザーに関連するすべての異常をすばやく見つけることができます。](media/identify-threats-with-entity-behavior-analytics/entity-behavior-analytics-incident-investigations.png#lightbox)
詳細については、「Microsoft Defender ポータルでインシデントを調査する」を参照してください。
UEBA データを使用して高度なハンティング クエリとカスタム検出を強化する
アナリストが UEBA 関連のテーブルを使用して高度なハンティングまたはカスタム検出クエリを作成すると、Microsoft Defender ポータルに、Anomalies テーブルへの参加を求めるバナーが表示されます。 これにより、行動分析情報を使用して調査が強化され、全体的な分析が強化されます。
![[高度なハンティング] ページを示すスクリーンショット。アナリストに Anomalies テーブルへの参加を求めるバナーを表示し、分析を行動分析情報で強化します。](media/identify-threats-with-entity-behavior-analytics/entity-behavior-analytics-advanced-hunting.png#lightbox)
詳細については、以下を参照してください:
- Microsoft Defenderでの高度なハンティングを使用して、脅威を事前に探します。
- KQL 結合演算子。
- UEBA データ ソース。
- Microsoft Sentinel機械学習エンジンによって検出された異常。
UEBA 動作レイヤーを使用した動作分析情報の集計
UEBA は異常なアクティビティを検出するためのベースライン プロファイルを構築しますが、新しい UEBA 動作レイヤーは、大量の生セキュリティ ログから関連するイベントを、明確で構造化された意味のある動作に集約し、"誰が誰に何をしたか" を一目で説明します。
動作レイヤーは、次を使用して生ログをエンリッチします。
- 複雑なアクティビティをすぐに理解できるようにする自然言語の説明
- MITRE ATT&既知の 戦術と手法に合わせて動作を調整する CK マッピング
- 関連するアクターとターゲットを明確にするエンティティ ロールの識別
断片化されたログを一貫した動作オブジェクトに変換することで、動作レイヤーは脅威の検出を促進し、検出の作成を簡素化し、UEBA 異常検出のコンテキストを豊富に提供します。 これらの機能を組み合わせることで、アナリストは、異常 な ことが発生しただけでなく、 何 が起こったのか、 なぜ 重要なのかをすばやく理解するのに役立ちます。
詳細については、「Microsoft Sentinelの UEBA 動作を使用して生のセキュリティ ログを行動分析情報に変換する」を参照してください。
価格モデル
UEBA は追加料金なしでMicrosoft Sentinelに含まれています。 UEBA データは Log Analytics テーブルに格納され、標準的なMicrosoft Sentinel価格に従います。 詳細については、「Microsoft Sentinel価格」を参照してください。
次の手順
UEBA の実装と使用に関する実用的なガイダンスについては、次を参照してください。
- Microsoft Sentinelでエンティティの動作分析を有効にします。
- UEBA データを使用してインシデントを調査します。
- UEBA エンジンによって検出された UEBA 異常の一覧。
- UEBA リファレンス。
- セキュリティ上の脅威を探します。
トレーニング リソースについては、次を参照してください。