Interset UEBA | ユースケース

機械学習とAIの力で動くInterset UEBAにより、SOCチームは脅威の追跡、選別、また検証を効果的に行うことができます。

内部脅威検出

内部脅威検出

従業員、契約業者、パートナー、また特権ユーザーは、いずれもインサイダー脅威になり得ます。摘発が難しく、もし脅威がうまくいってしまうと、痛烈な悪影響を伴います。Intersetプラットフォームにより、セキュリティチームにはエンドポイント、サーバー、ネットワーク、またテラバイトに及ぶログデータの隅から隅までの可視性が与えられます。

Intersetは、バックエンドからエンドポイントまで内部脅威の全体像を提供できる唯一の脅威検出プラットフォームです。機械学習を介して、Intersetは通常プロセスの全体像を作成します。異常あるいはハイリスクのアクティビティを発見すると、関わったユーザーにその事象を紐付けし、ユーザーのリスクスコアを上げ(根本的に誤判定アラートを最小限に抑えて)、インシデントのコンテキストを明確で実用的な対話式のインターフェイスに表示します。Intersetはインサイダー脅威を検出して表面化させ、同時にセキュリティチームがもっと迅速かつ効率的に脅威を軽減できるようにします。

標的型攻撃の検出

標的型攻撃の検出

最近のサイバー攻撃はたびたび、高度な多層防御の境界をも通り抜けます。企業はこういった脅威をネットワークの内部で監視しなければなりません。しかし莫大な量のイベントデータをふるいにかけると、多くの場合に誤判定が生じることが常です。真のビッグデータプラットフォームに構築されたIntersetは、莫大な量のデータを取り込んで分析し、迅速かつ正確に攻撃を表面化させます。

Intersetは、感染したアカウントからラテラルムーブメント、データの偵察、データのステージング、およびデータの流出の動きまで、攻撃の道筋を検出、紐付け、また可視化します。このようにして、Intersetは攻撃が現れたところで即座に表面化させます。アナリストはインシデントの可視化とワークフローが即座に提供され、効率良く検証、調査を行い、対応できます。

機密データとIP保護

機密データとIP保護

データ中心型セキュリティプログラムにIntersetをデプロイしている顧客は数多いです。リポジトリのプロジェクトや共有ドライブ、サーバーなどのデジタル資産に対する分析によるリスクスコア付けが備わっているからです。

Intersetはまた、独自のエンドポイントセンサーを提供し、エンドポイントデータをバックエンドリポジトリやディレクトリデータに対応させる唯一のセキュリティ分析ベンダーです。このプラットフォームは、ソースコード管理(SCM)といったIPリポジトリのアプリケーションログに行動分析を適用することで、バックエンドの可視性の問題に注目して対応します。Intersetはハイリスクのアクティビティをアナリスト向けに正確に特定するため、違反が起こる前に悪意のある動作を止めることができます。

エンドポイントEDR

エンドポイント検出および対応

EDR(Endpoint detection and response、エンドポイントでの検出と対応)ソリューションは脅威検出に関して詳細に及ぶ極めて正確なデータを与えてくれます。UEBAと組み合わせて数十億ものエンドポイントイベントを分析し、セキュリティチームは感染したアカウント、ラテラルムーブメント、内部スパイ、あるいはデータ流出の兆候を迅速かつ効果的に検出することができます。Interset UEBAは、異常なログインの頻度、作業の日時、あるいは通常使われないマシンといったユーザー情報を照らし出し、見つけにくい脅威を検出するために有用な前後関係を追加して提供してくれます。 

IntersetのUEBAをCrowdStrikeのリッチなエンドポイントデータに合わせて、インサイダーや標的型攻撃など、見つけにくい脅威でも迅速に発見します。このソリューションは、数十億のイベントから優先順位をつけた手がかりのリストに抽出し、警戒疲れを抑え、重要な脅威を注目できるようにします。これにより、Security Operationsセンターはもっとシームレスに攻撃に対処できるようになります。

Security Operationsを最適化

Security Operationsを最適化

今日のSecurity Operationsセンターの土台ではあるものの、SIEM、DLP、IAM、NAC製品がセキュリティにギャップを作ってしまい、あまりにも数多くの誤判定や複雑過ぎるポリシー構造により、脅威を正確に検出して評価し、またそれに対応するSecurity Operationsセンターの能力が縮小されています。アナリストはどれが真の脅威か推定するために時間を無駄にし過ぎています。Intersetの高度な分析プラットフォームは、既存のセキュリティツールの効果を最大限に発揮し、Security Operationsを最適化するために作られました。

Interset UEBAはArcSightといった既存のセキュリティツールから収集されたデータを相互に関連付け、システムレベル、またアプリケーションレベルで、ユーザーとサービスアカウント、Authentication、アクセスの企業規模のビューを提供します。プラットフォームはまた、アクセスやハイリスクのムーブメントに見識を加え、SIEMまたはインシデント対応ツールに前後関係のあるデータを自動で送り込みます。また、認証DLP、あるいはNACシステムでITコントロールを有効にするAPI呼出を行うことができます。

感染アカウントの検出

感染アカウントの検出

感染したアカウントはフィッシング、マルウェア、あるいはData breachの結果として生じる場合があります。攻撃者は財務利益のため、あるいは他のアプリケーションやネットワークの機密データにアクセスするために顧客や従業員の認証情報を盗みます。高度な機械学習が駆動するIntersetのプラットフォームは、ユーザーとサービスアカウントの中でも感染アカウントの検出に焦点を置いた60種以上のアルゴリズムを活用します。Intersetはまた、エンドポイント、ディレクトリ、ACL、複数のコードコラボレーションのアプリケーションログのインジケーターを、バージョンコントロールソフトウェアプログラムに関連付けできる唯一のセキュリティ分析製品です。これはあらゆるタイプのアカウントにフォーカスした攻撃を網羅しています。

Intersetの広範囲の可視性から、セキュリティチームはアカウントの感染を発見できる力を得て、そのような攻撃を関連するIOCに紐付けします。言い換えれば、脅威を迅速かつ正確に表面化させるだけでなく、その一歩先を行き、攻撃が標的にたどり着く前に、攻撃に潜む文脈上の情報を提供します。

脅威ハンティングリードジェネレーション

脅威ハンティングリードジェネレーション

Intersetは標的に攻撃が到達する前に表面化させます。しかしこれはほんの始まりに過ぎません。次に攻撃を検証するセキュリティアナリストをアシストし、ビジネスのインシデント対応プロセスと統合して、組織全体のチームにインシデント情報を提供します。また、攻撃の止め方を早急に理解するために重要な、攻撃の3方向の画像を配信します。エンティティリスクビューでは、アナリストが攻撃の発見を受けて、攻撃のタイムライン、リスクの傾向、また新しい異常をビジュアルで提供します。タイムラインピューには、ひとつの攻撃に関連する他のセキュリティ製品や脅威インテリジェンス情報の警告も含めることができます。これにより、検証と対応のプロセスを最適化します。

Intersetプラットフォームは、Kibana/Elasticsearchのオープン統合を取り入れ、またElasticsearchエンジンであらゆるデータの履歴分析を実行する能力が備わっています。調査研究者や脅威ハンターはインシデントの詳細なイベントレベル情報にワンクリックでアクセスできます。さらに、RESTful APIとさまざまなダウンストリームシステムとのネイティブ統合(例: DXL、Phantom、Splunkなど)により、対応と検証のプロセスを最適化し、データが感染する前に攻撃を止めるために必要なツールをセキュリティチームに与えます。

特権アカウントの監視

特権アカウントの監視

Edward Snowdenとその他に関わる高可視性のインシデントは、どれだけPrivileged Accountsの行動を見ていないか、ということを思い出させます。従業員が脅威だとしたら、あるいはその認証情報が感染してしまったら、このタイプのアカウントへのアクセスは多大な損失になりかねません。

それぞれの特権アカウントに対し、Intersetは約30種類の異なる動作のベースラインとして、時間、Authentication、アクセス、アプリケーション使用状況、データの動きといった動作を考慮します。あるアカウントがそのベースラインから逸脱すると、Intersetの分析で特権を受けているユーザーのアクティビティを可視化し、リスクスコアを用いて誤判定をなくし、その後、セキュリティに取るべきアクションを警告します。

Interset UEBAのデモリクエスト

どのような使用事例がビジネスで最も気になりますか。Micro Focusのセキュリティのプロのデモをスケジュールして、Interset UEBAによりSOCに過給するツールをどのように得られるかご覧ください
release-rel-2020-10-2-5387 | Wed Oct 28 21:33:24 PDT 2020
5387
release/rel-2020-10-2-5387
Wed Oct 28 21:33:24 PDT 2020