組織内の異常な動作の検出は、多くの場合、複雑で時間がかかります。 Microsoft Sentinelの User and Entity Behavior Analytics (UEBA) は、データから継続的に学習し、アナリストが潜在的な脅威をより効果的に検出して調査するのに役立つ意味のある異常を表面化させることで、この課題を簡素化します。
この記事では、ユーザーとエンティティの行動分析 (UEBA) Microsoft Sentinelとは何か、そのしくみ、オンボード方法、UEBA を使用して異常を検出して調査し、脅威検出機能を強化する方法について説明します。
UEBA のしくみ
Microsoft Sentinel UEBA は機械学習を使用して、ユーザー、ホスト、IP アドレス、アプリケーション、およびその他のエンティティの動的な動作プロファイルを構築します。 その後、現在のアクティビティを確立されたベースラインと比較して異常を検出し、セキュリティ チームが 侵害されたアカウント、 インサイダー攻撃、 横移動などの脅威を特定するのに役立ちます。
Microsoft Sentinelが接続されたソースからデータを取り込む際、UEBA は次の処理を適用します。
- 偏差を検出するための行動モデリング
- 異常アクティビティの影響を評価するためのピア グループ分析とブラスト半径の評価
UEBA は、関連するエンティティ、異常の重大度、コンテキストを考慮して、異常な動作に リスク スコア を割り当てます。
- 地理的な場所、デバイス、環境間の偏差
- エンティティの履歴動作と比較した時間とアクティビティの頻度の変化
- ピア グループとの違い
- 組織全体の動作パターンからの逸脱
次の図は、UEBA を有効にする方法と、UEBA がデータを分析し、 リスク スコア を割り当てて調査の優先順位を付ける方法を示しています。
UEBA テーブルの詳細については、「 UEBA データを使用して異常を調査する」を参照してください。
UEBA が検出する異常の詳細については、「Microsoft Sentinel機械学習エンジンによって検出されたAnomaliesを参照してください。
UEBA は、Microsoft SentinelとMicrosoft Defender ポータルにネイティブに統合されており、セキュリティ運用チームにシームレスなエクスペリエンスを提供し、脅威の調査と対応を強化する埋め込みエクスペリエンスを提供します。
UEBA で動作プロファイルを作成し、異常を検出できるようにする
UEBA の高度な脅威検出機能を最大限に活用するには:
Microsoft Sentinelで UEBA を有効にし、Microsoft Entra ID、Defender for Identity、Office 365などの主要なデータ ソースを接続します。 詳細については、「 エンティティの動作分析を有効にする」を参照してください。
UEBA Essentials ソリューションをインストールします。これは、Microsoft のセキュリティ専門家によってキュレーションおよび管理されている、事前構築された数十のハンティング クエリのコレクションです。 このソリューションには、Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP)、Okta にまたがるマルチクラウドの異常検出クエリが含まれています。 ソリューションをインストールすると、これらの検出機能をゼロから構築する代わりに、UEBA データを使用して脅威ハンティングと調査をすばやく開始できます。
Microsoft Sentinel ソリューションのインストールの詳細については、「Microsoft Sentinel ソリューションのインストールまたは更新を参照してください。
UEBA 分析情報を ブック、インシデント ワークフロー、ハンティング クエリに統合して、SOC ワークフロー全体でその価値を最大化します。
UEBA データを使用して異常を調査する
Microsoft Sentinelは複数のテーブルに UEBA 分析情報を格納し、それぞれが異なる目的に合わせて最適化されています。 アナリストは通常、これらのテーブル間でデータを関連付けて、異常な動作をエンドツーエンドで調査します。
次の表は、各 UEBA テーブルのデータの概要を示しています。
| 表 | 目的 | 重要な詳細 |
|---|---|---|
| IdentityInfo | エンティティ (ユーザー、デバイス、グループ) の詳細なプロファイル | Microsoft Entra IDおよび必要に応じてオンプレミスのActive Directoryを通じてMicrosoft Defender for Identityに基づいて構築されています。 ユーザーの動作を理解するために不可欠です。 |
| BehaviorAnalytics | 位置情報と脅威インテリジェンスを使用して行動データを強化する | 優先順位付けスコアを持つベースラインからの偏差が含まれています。 データは、有効なコネクタ (Entra ID、AWS、GCP、Okta など) に依存します。 |
| UserPeerAnalytics | 行動ベースライン用に動的に計算されたピア グループ | セキュリティ グループのメンバーシップ、メーリング リスト、およびその他の関連付けに基づいて上位 20 人のピアをランク付けします。 TF-IDF (用語の頻度 - 逆ドキュメントの頻度) アルゴリズムを使用します (小さいグループの場合、重みが大きくなります)。 |
| Anomalies | 異常として識別されるイベント | 検出と調査のワークフローをサポートします。 |
| SentinelBehaviorInfo | 生ログで識別される動作の概要 | 生のセキュリティ ログを、自然言語の説明と MITRE ATT&CK マッピングを使用して、構造化された "誰が誰に何をしたか" の概要に変換します。 |
| SentinelBehaviorEntities | 識別された動作に関連するエンティティのプロファイル | 検出された動作に関係するエンティティ (ファイル、プロセス、デバイス、ユーザーなど) に関する情報。 |
注
UEBA 動作レイヤーは、UEBA とは別に有効にする別の機能です。
SentinelBehaviorInfoテーブルとSentinelBehaviorEntities テーブルは、動作レイヤーを有効にした場合にのみワークスペースに作成されます。
このスクリーンショットは、ユーザー Kendall Collins の上位 8 つのピアを持つ UserPeerAnalytics テーブル内のデータの例を示しています。 Sentinel では、TF-IDF アルゴリズムを使用して、ピア ランクの計算時に重みを正規化します。 小さいグループはより高い重量を運ぶ。
UEBA データとその使用方法の詳細については、次を参照してください。
- UEBAリファレンスは、UEBAに関連するすべてのテーブルとフィールドの詳細なリファレンスです。
- Microsoft Sentinel機械学習エンジン によって検出された異常の一覧は、UEBA が検出する異常を示しています。
UEBA スコアリング
UEBA には、セキュリティ チームが調査に優先順位を付け、異常を効果的に検出するのに役立つ 2 つのスコアが用意されています。
| アスペクト | 調査の優先度スコア | 異常スコア |
|---|---|---|
| テーブル | BehaviorAnalytics |
Anomalies |
| フィールド | InvestigationPriority |
AnomalyScore |
| 範囲 | 0–10 (0 = 無害、10 = 非常に異常) |
0–1 (0 = 無害、1 = 非常に異常) |
| のインジケーター | プロファイル駆動ロジックに基づいて単一イベントがどれほど異常であるか | 機械学習を使用した複数のイベント間の全体的な異常な動作 |
| 用途 | 1つのイベントを迅速にトリアージし、詳細分析する | 時間の経過に伴うパターンと集計された異常の特定 |
| 処理 | ほぼリアルタイムでのイベントレベル | バッチ処理、動作レベル |
| 計算方法 | Entity Anomaly Score (ユーザー、デバイス、国/地域などのエンティティの希少性) と時系列スコア (失敗したサインインの急増など、時間の経過と共に異常なパターン) を組み合わせます。 | ワークスペースのテレメトリでトレーニングされた AI/ML 異常検出機能 |
たとえば、ユーザーが初めてAzure操作を実行するとします。
- 調査の優先度スコア: これは初めてのイベントであるため、高です。
- Anomaly score: 低。これは、Azureで最初に行われるアクションが一般的であり、本質的に危険ではないためです。
これらのスコアはさまざまな目的に役立ちますが、ある程度の相関関係が期待できます。 高い異常スコアは、多くの場合、調査の優先度が高いと一致しますが、必ずしもそうであるとは限りません。 各スコアは、階層化された検出に固有の分析情報を提供します。
Defender ポータルで埋め込み UEBA エクスペリエンスを使用する
調査グラフやユーザー ページの異常を検出し、検出クエリに異常データを組み込むようにアナリストに促すことで、UEBA は脅威検出の高速化、よりスマートな優先順位付け、より効率的なインシデント対応を容易にします。
このセクションでは、Microsoft Defender ポータルで使用できる主要な UEBA アナリスト エクスペリエンスについて説明します。
UEBA ホーム ページ ウィジェット
Defender ポータルのホーム ページには UEBA ウィジェットが含まれており、アナリストはすぐに異常なユーザーの動作を可視化し、脅威検出ワークフローを高速化します。 テナントがまだ UEBA にオンボードされていない場合、このウィジェットでは、セキュリティ管理者がオンボード プロセスにすばやくアクセスすることもできます。
ユーザー調査における UEBA の分析情報
アナリストは、サイド パネルに表示される UEBA コンテキストと、Defender ポータルのすべてのユーザー ページの [概要 ] タブを使用して、ユーザー リスクをすばやく評価できます。 異常な動作が検出されると、ポータルは UEBA 異常 を持つユーザーに自動的にタグを付け、最近のアクティビティに基づいて調査の優先順位を付けます。 詳細については、「Microsoft Defender の
各ユーザー ページには 上位 UEBA 異常 セクションが含まれており、過去 30 日間の上位 3 つの異常と、事前構築された異常クエリへの直接リンクと、より詳細な分析のための Sentinel イベント タイムラインが表示されます。
![過去 30 日間の UEBA 異常があるユーザーの [ユーザー] ページの [概要] タブを示すスクリーンショット。](media/identify-threats-with-entity-behavior-analytics/entity-behavior-analytics-user-investigations.png#lightbox)
インシデント調査における組み込みのユーザー異常検出クエリ
インシデント調査中に、アナリストは Defender ポータルのインシデント グラフから組み込みのクエリを直接起動して、ケースに関連するすべてのユーザー異常を取得できます。
![インシデント グラフを示すスクリーンショット。[Go hunt All user anomalies]\(すべてのユーザーの異常を検出する\) オプションが強調表示されています。これにより、アナリストはユーザーに関連するすべての異常をすばやく見つけることができます。](media/identify-threats-with-entity-behavior-analytics/entity-behavior-analytics-incident-investigations.png#lightbox)
詳細については、Microsoft Defender ポータルでインシデントを調査するを参照してください。
UEBA データを使用して高度なハンティング クエリとカスタム検出を強化する
アナリストが UEBA 関連のテーブルを使用して高度なハンティングまたはカスタム検出クエリを作成すると、Microsoft Defender ポータルに、Anomalies テーブルへの参加を求めるバナーが表示されます。 これにより、行動に関する分析情報を使用して調査が強化され、全体的な分析が強化されます。
![[Advanced Hunting]\(高度なハンティング\) ページを示すスクリーンショット。アナリストに Anomalies テーブルに参加し、行動分析情報を使用して分析を強化するように求めるバナーが表示されています。](media/identify-threats-with-entity-behavior-analytics/entity-behavior-analytics-advanced-hunting.png#lightbox)
詳細については、次を参照してください。
- Microsoft Defenderで高度なハンティングを使用して脅威を検出します。
- KQL 結合演算子。
- UEBA データ ソース。
- Microsoft Sentinel 機械学習エンジンによって検出された異常。
UEBA 動作レイヤーを使用して行動分析情報を集計する
UEBA は異常なアクティビティを検出するためのベースライン プロファイルを構築しますが、新しい UEBA 動作レイヤーは、大量の生セキュリティ ログからの関連イベントを、明確で構造化された意味のある動作に集約し、"誰が誰に何をしたか" をひとめで説明します。
ビヘイビアー レイヤーは、次の方法で生ログをエンリッチします。
- 複雑なアクティビティをすぐに理解できるようにする自然言語の説明
- 既知の戦術と手法に合わせて動作を調整する MITRE ATT&CK マッピング
- 関係するアクターとターゲットを明確にするエンティティ ロールの識別
断片化されたログをコヒーレントな動作オブジェクトに変換することで、ビヘイビアー レイヤーは脅威ハンティングを高速化し、検出の作成を簡素化し、UEBA 異常検出のコンテキストを強化します。 これらの機能を組み合わせることで、アナリストは異常 なことが発生 しただけでなく、 何 が起こったのか、 なぜ 重要なのかをすばやく理解するのに役立ちます。
詳細については、「Microsoft Sentinel の UEBA 動作を使用して生のセキュリティ ログを行動分析情報に転送する」を参照してください。
価格モデル
UEBAは追加料金なしでMicrosoft Sentinelに含まれています。 UEBA データはLog Analyticsテーブルに格納され、標準的なMicrosoft Sentinel価格に従います。 詳細については、「Microsoft Sentinel 価格」を参照してください。
次の手順
UEBA の実装と使用方法に関する実用的なガイダンスについては、次を参照してください。
- エンティティ動作分析をMicrosoft Sentinelで実現します。
- UEBA データを使用してインシデントを調査する。
- UEBA エンジンによって検出された UEBA 異常の一覧。
- UEBA リファレンス。
- セキュリティの脅威を検出する。
トレーニング リソースについては、次を参照してください。