UEBA行動監視

この記事の内容は10/7(木)開催のSumo Logicオンラインセミナーにて説明したものと同内容となります。

セミナーアーカイブをご覧になりたい方は以下のボタンからご覧になることができます。

セミナーアーカイブはこちら

Sumo Logicで実現するUEBA行動監視

UEBA(行動監視)とは?

UEBAとは"User and Entity Behavior Analytics"の略で、日本語では「ユーザーとエンティティの行動分析」と表記されます。 機械学習を利用して社内ネットワーク上のユーザやその他のエンティティの通常の行動を学習し、異常行動を検知します。そして検知された行動がセキュリティ上に影響するかどうかを推定する、新しい分野のセキュリティソリューションです。 Sumo Logicが複数の業務アプリケーション利用をログデータからスコア化し、不正行為予兆を導き出すことでUEBAの行動監視の実現が可能となります。

Sumo Logicでの行動監視ダッシュボード

Sumo Logicでの行動監視のダッシュボード

Sumo Logicでは画像のようなダッシュボードを用いて行動監視を行います。 今回のダッシュボードから、2名の危険者、1名の警告者、9名の注意監視者の存在が一目で確認できます。

複数のアプリケーションからの判断基準(スコアリング)

今回の行動監視では、主に3つの判断要素にフォーカスして不正行動の予兆を導き出します。

  1. 早朝や土日時間帯でのPC稼働時間帯の監視
  2. SNSでの機微な情報を大量共有
  3. クラウドストレージからの大量データ持ち出し
確認テーマ PC稼働時間 SNS(チャットツール) クラウドストレージ
判断基準 業務時間外の稼働 SNS上でのファイル共有回数 ストレージによる大量データアップロード
アプリ例 SKYSEA Slack Box
Lan Scope Cat Teams Dropbox
Windowsのエージェント - Google Drive / One Drive / 他

それぞれのログデータからスコア付けを行い合計点を算出することで、行動監視を行います。

3アプリケーションからのスコアリング

早朝や土日時間帯でのPC稼働時間帯の監視

Sumo Logic アプリケーションからのスコアリング UEBA

今回はPCの稼働時間のデータはWindowsのエージェントを用いてログデータを作成し、残業申請時間のデータは残業申請ファイルとなるCSVファイルを作成して、Sumo Logicに収集しました。実際にWindowsのエージェントを用いて収集したログデータと、残業申請データをSumo Logicで可視化したものが上の図です。

概要

①では残業申請時間とPC稼働時間を可視化しています

②ではPC稼働時間と残業申請時間の比較を行い、実際の申請との差異が大きい人を一目で発見できます。

考え方としては

  • 残業申請時間 < 業務実態(実際のPC稼働時間) = 要監視
  • 残業申請時間 > 業務実態(実際のPC稼働時間) = 問題無し

とみなすことで、残業申請時間外に黙って行われたリモート業務を見つけることが可能となります。

次に、残業申請時間外のPC稼働時間の長さと時間帯(早朝、深夜、土日)に応じてスコア付けを行います。

Sumo Logic アプリケーションからのスコアリング UEBA

上の画像は①は早朝、②は深夜、③は土日におけるPCの稼働時間を可視化したダッシュボードとなっています。監査傾向として、「早朝 → 土日 → 深夜」 の順でスコアを高く付けます。理由としては、朝が一番人が少なく怪しい時間帯だとみなし、深夜は業務後の作業として稼働する可能性を考慮し、このような順番でスコア付けを行います。

スコアリング

PC稼働時間を用いた分野の点数は、30点満点とします。今回は、PC稼働時間と残業申請時間の差異の大きさと時間帯を考慮して、スコア付けを行いました。
具体的な数値として、

  • 早朝から業務時間前に月間4時間以上の差異 : 30点
  • 土日に月間1時間以上の差異 : 20点
  • 業務終了後から深夜に月間4時間以上の差異 : 10点

と設定して、点数を算出しました。

SNSでの機微な情報を大量共有

今回はSlackを用いてログデータを作成し、Sumo Logicに収集しました。

概要

Sumo Logic UEBA Slackのログデータ

上のパネルは、ユーザーごとのSlackでの月間総ファイル共有回数を可視化したダッシュボードです。

①ではファイル共有数の比較(直前の1ヶ月(=4週間)の平均ファイル共有回数と、今週のファイル共有回数)を可視化しています。②では平均と今週のファイル共有数の差異を可視化することでファイル共有数の急激な増加をひと目でわかるようにしました。

スコアリング

SNSを用いた分野での点数は、30点満点とします。今回は、ファイルの月間総共有回数と、ファイル共有回数の頻度(今週のファイル共有回数と、過去4週間の平均ファイル共有回数の差異)を考慮して、スコア付けを行いました。
具体的な数値として

  • 総共有回数
    • 40回以上:20点
    • 20 ~ 40回:10点
    • 0 ~ 20回:0点
  • 頻度
    • 5回以上の差異(今週のファイル共有回数が多い時):10点

と設定して、点数を算出しました。

クラウドストレージからの大量データ持ち出し

今回はBoxを用いてログデータを作成し、Sumo Logicに収集しました。各曜日ごとにデータを収集・可視化します。平日と土日でスコアの算出方法を変えることで、より正確に脅威の検知をできるようになります。

概要

①ではファイルのアップロード / ダウンロード数比較(直前の1ヶ月=4週間の平均ファイル共有アクティビティと、今週のファイルアクティビティ)を可視化することで回数の急激な増加を検知できます。。②では、10MB以上のファイルのアップロード / ダウンロードを可視化することでサイズの大きいファイルを発見できます。

①では、各曜日のファイルのアップロード / ダウンロード総数(社内全員による日間総ファイルアクティビティ回数)を可視化します。ある時間に急激に大量のデータのアップロード・ダウンロードが行われた場合、すぐに分かるようになります。②では危険時間帯(赤色)に行われたアップロード / ダウンロードを可視化することで異常な時間での行動を検知できます。

平日の場合は、三つの時間帯に分け、それぞれに監査の優先度を付けます。

  • 危険時間帯 (00:00 – 10:00) : 大(赤色)
  • 通常時間帯 (10:00 – 18:00) : 小(青色)
  • 注意時間帯 (18:00 – 24:00) : 中(黄色)

PCの稼働時間帯のスコア付けの順番と同様に、早朝の時間帯を危険時間帯、深夜の時間帯を注意時間帯、業務時間内を通常時間帯とみなして、監査の優先度を付けます。画像のパネルは月曜日 - 金曜日の5枚が縦に並んでいるため、1週間で行われたファイルアクティビティの傾向も一目で確認することが可能です。

土日の場合は、二つの時間帯に分け、それぞれに監査の優先度を付けます。

  • 危険時間帯 (00:00 – 10:00) : 大(赤色)
  • 注意時間帯 (10:00 – 18:00) : 中(黄色)
  • 危険時間帯 (18:00 – 24:00) : 大(赤色)

土日は業務がないため、業務時間内を注意時間帯、それ以外の時間を危険時間と設定してパネルの表示をしています。

スコアリング

クラウドストレージを用いた分野での点数は、40点満点とします。今回は、ファイルアクティビティの頻度(今週のファイルアクティビティ回数と、過去4週間の平均ファイルアクティビティ回数の差異)、ファイルのサイズ、ファイルアクティビティの時間帯(赤の時間帯に行われたファイルアクティビティ回数)を考慮して、スコア付けを行いました。
具体的な数値として

  • 頻度
    • 10回以上の差異(今週のファイルアクティビティが多いとき) : 10点
  • ファイルのサイズ
    • 30MB以上 : 10点
    • 20 - 30MB : 5点
    • 0 - 20MB : 0点
  • 時間帯
    • 2回以上のファイルアクティビティ(赤の時間帯) : 20点
    • 1回のファイルアクティビティ(赤の時間帯) : 10点

と設定して、点数を算出しました。

スコアシート

複数のアプリケーションで算出したそれぞれのスコアを合計し、0-100点でスコアの合計点を導き出します。
その合計点を、

  • 危険者 : 80 - 100点
  • 警告者 : 40 - 80点
  • 注意監視者 : 0 - 40点

に分類分けし、色を分けてダッシュボードに表示させることで、Sumo LogicにおけるUEBA行動監視の実現となります。

Sumo Logic上での行動監視手順

ダッシュボード

  1. まずスコアシートのダッシュボードを開き、スコア合計表から関心のあるスコアの名前を確認します。危険者は基本的にはいないことが前提なので、黄色の警告者が赤の危険者になり得る存在なのか、偶然今回はスコアが高くなって黄色の警告者になってしまったのかを確認していきましょう。
  2. 対象者を決定したら名前をコピーし、ダッシュボード上部のフィルター検索部 "name" にコピーした名前をペーストし、Enterを押します。操作後のダッシュボードは、対象者に関するデータのみを表示します。
  3. 下部にあるそれぞれのスコアを確認し、Click Hereをクリックすることで、選択したアプリケーションでの対象者に関する詳しいダッシュボードに遷移することができます。
  4. それぞれのダッシュボードを確認することで、対象者の行動の傾向を見つけ出し行動監視を行うことで、不正行為の早期発見が可能となります。

アラート

危険者や警告者、注意監視者がある閾値を超えた時にリアルタイムでアラートとして通知を送信する機能がついているため、常時ダッシュボードを確認している必要はありません。閾値に関しては値を設定してカスタマイズすることも可能です。