ニュース
Dell EMC、ユーザーの振る舞いから危険な行為を自動的に特定する「RSA NetWitness UEBA」
2018年11月12日 13:32
デル株式会社とEMCジャパン株式会社(以下、Dell EMC)は12日、ユーザーやデバイスのふるまいを分析し、不審な行為を特定するUEBA(User and Entity Behavior Analytics)製品「RSA NetWitness UEBA」を発表した。
RSA NetWitness UEBAは、3ユーザーのふるまいを3段階に分けた独自の機械学習機能で分析し、危険度の高い行動を迅速に特定することで、セキュリティ運用の負荷軽減を支援するソフトウェア。
第1段階では、「RSA NetWitness Logs」で収集したログを用いて、ユーザーが普段取っている行動を統計的に分析し、長期的な行動パターンを作成するとともに、この行動パターンをもとにして比較対象の基礎となるベースラインを作成する。こうした行動分析は永続的に実施され、ベースラインは随時、自動的に更新されるという。
続いて第2段階では、第1段階で作成されたベースラインから、1時間ごと、および1日ごとのユーザーの短期的な行動パターンを作成し、ベースライン化する。さらに、第1段階で作成したベースラインとの比較によるマトリクスを作成し、異常な行動を浮かび上がらせ、対策の優先順位にスコアを付けるとした。
第3段階では、スコアの高い行動を分析し、関連するほかの行動と結びつけて、危険度が高い行動パターンにはさらに高いスコアを付け、アラートを生成してくれる。これにより、担当者はログをひとつひとつ分析しなくとも、危険な状況を速やかに把握できるとのこと。
なお、3段階の機械学習はすべて自動化された「教師なし」で行われ、ベースライン作成のためのカスタマイズやチューニングは不要。このため、新たな人材を配備する必要もないという。Dell EMCによれば、ある組織において、5000ユーザーの2カ月間にわたる16億件ものログイン情報から、特にリスク値の高い、不審な行動形跡のある37人を2.5日で特定できたとのこと。
ライセンスはユーザー単位(最少1000ユーザーから)の年間料金となり、価格は1000ユーザーの場合で756万円(税別)から。
Dell EMCでは、RSA NetWitness UEBAを「RSA NetWitness Platform」の他製品と併用することにより検知の領域が広がるため、社内で発生する不正行為と標的型サイバー攻撃に対して、効率的な運用で早期の検知と対策を講じられるようになるとアピールしている。
