勉強前イメージ
単語すらも知らんかも。。。。
調査
UEBA とは
User and Entity Behavior Analytics の略で、日本語ではユーザーとエンティティ(機器等)の行動分析になります。
日本語の通りユーザや機械の行動をログで収集・分析し、どのような振る舞いをしているのかをモデル化することによって
従来のウイルス対策ソフトで検知することが難しかった振る舞い特定が可能になります。
機械学習を組み合わせて分析を行うことで、検知をより正確にする技術へとされています。
UEBAの仕組み
とは言ってますが、どういうことをしてるかというとUEBAでは実際に稼働している個々のユーザとエンティティ(機器等)のログをまず集めます。
それを分析することで、最初にユーザとエンティティの「通常行う振る舞い」が見えてきます。
それをモデル化します。
そうすることで、実際のユーザやエンティティのアクセスを妨害することなく
異常な動き、攻撃などを検知することができるという仕組みです。
UEBAとSIEM
多くの組織では SIEM というfirewallやIDS/IPSなどの機器やログを一元管理し、脅威を検知・分析して通知を行う仕組みが導入されていることが多いです。
SIEMでもログ収集して分析してる!と思われるかもしれませんが、振る舞い検知が含まれてなかったりリアルタイムでの脅威の監視ができず
どちらかというとログの取り込みや相関分析が得意になります。
UEBAはどちらかというと行動の分析が得意になります。
どちらも特化しているところがあるということで、UEBA+SIEMを使って次世代SIEMと呼ばれるものもあります。
勉強後イメージ
前調べたSIEMを思い出した・・・・
どちらかというと行動分析が得意なのね。。