UEBAはユーザーとエンティティの行動を監視して異常を検知します。ここで言うところのユーザーは、端末やサービスの利用者です。エンティティとはサーバーやルーターなどのユーザー以外の実体を意味しています。つまり末端に存在するすべての実体に関する行動を監視して、比較を行って異常を見つけ出します。
外部の攻撃者が行う行動として、ファイルの破壊やデータの流出などがあります。これらの行動は、普段の作業では発生しないはずで、明らかに異常です。それでもネットワーク上にあるフィルタでは検知することが難しいのが現実です。またネットワークを介さずにUSBや近接ワイヤレス通信などから侵入する手段もあり、検知が難しいケースもあります。
UEBAが監視するユーザーは実際の使っている人ではなく、その操作する端末の行動パターンです。ファイルのやり取りからネットワークのアクセスなど、セキュリティ上で問題が発生したときに関係してくる行動だけです。端末についたカメラを使って監視するようなことはありません。エンティティについても実体に関する行動が対象で、故障などのハード的な問題が見つけられるわけではありません。
UEBAは監視対象の行動が通常と違うかを相関的に比較します。もし通常と同じであれば、検知することは難しいでしょう。侵害された端末の行動が普段と異なると言う前提で検知します。実績が増えればそれだけ検知能力は高くなり、有効な手段になることが期待できます。
No comment yet, add your voice below!