こちらはSumo Logic社のブログを日本語化したものです。
原文はこちらをご参照ください。
サイバーセキュリティにおいて最も重要なのは、脅威を迅速に発見し、それが本当に重要かどうかを判断することです。そこで登場するのが、ユーザーおよびエンティティの行動分析(UEBA)であり、Sumo Logicの最新イノベーションである「履歴ベースライン」が画期的なものである理由もここにあります。
このリリースにより、Sumo Logicは従来のUEBAモデルを根底から覆し、これまで数週間の学習時間を要していたインサイトをわずか数分で提供できるようになりました。これがどのように、そしてなぜゲームチェンジャーとなるのかを説明します。
UEBAとは?
UEBAは、静的なルールに代わってユーザーの行動やパターンに基づいて脅威を検知する手法です。ユーザー、デバイス、システムが通常どのように動作するかを追跡し、疑わしいアクティビティにフラグを立てます。
全員の日常業務を学習する賢い警備員のようなものだと考えてください。誰かが普段と違う時間帯に現れたり、制限区域に入ろうとしたりすると、警備員は何かおかしいと気づきます。
しかし、問題点もあります。従来のUEBAは学習に時間が必要です。ほとんどのツールは、有用になるまでに数週間(場合によっては数ヶ月)分のデータを必要とします。その間、アラートは過度に一般的であったり、誤検知だらけだったりします。しかし、「履歴ベースライン」はこの問題を軽減し、脅威に迅速に対応できるようになります。
Sumo Logicの画期的な技術:履歴ベースライン
2025年6月のCloud SIEMのアップデートで、Sumo Logicは「履歴ベースライン」を導入しました。これにより、チームは数週間分の過去の行動データを即座に利用できるようになります。
これは、つまり次のことを意味します。
- もうシステムが時間をかけて「学習」するのを待つ必要はありません。
- 何かが正常かどうかを推測する必要もありません。
- そして、見過ごされた異常によって不意を突かれることもなくなります。
Sumo Logicは、過去のインテリジェンスとリアルタイムの検知を融合させ、必要なときに必要なコンテキストを提供します。
どこで機能するのか
この機能は現在、Sumo LogicのCloud SIEMにおける主要な検知手法を強化しています:
- Outlier ルール
単なる静的なしきい値ではなく、数週間にわたるデータに基づいたパーセンタイルベースのベースラインを使用するようになりました。これにより、アラートは恣意的な数値ではなく、お客様の環境の実際のパターンに基づいたものになります。 - First Seen ルール
何かが過去にどれくらいの頻度で出現したかを考慮するようになり、まれではあるが正当なイベントによる誤検知を削減します。
いずれの場合も、Sumo Logicは過去の行動を利用して、より賢明な判断を即座に行っています。
大きな利点は何か?
「履歴ベースライン」の価値は、スピードと正確さに集約されます。セキュリティチームには、脅威が襲ってきたときに時間的な余裕はなく、結局は何でもない異常を一つひとつ追いかける余裕もありません。
この機能により、以下のことが実現します。
- 数週間の行動履歴というコンテキストを持った迅速な脅威検知
- 誤検知の大幅な削減
- 長い学習期間やチューニングサイクルの不要化
- よりスマートなアラート、的確な優先順位付け、そして迅速な対応
このアップデートにより、より迅速に作業を進め、セキュリティワークフローを改善するためのインテリジェントなセキュリティオペレーションを構築できます。
結論:セキュリティチームは格段にスマートになった
Sumo LogicのUEBAにおける「履歴ベースライン」は、単なる機能ではありません。それは、行動分析がどうあるべきかという考え方を根本から見直すものです。
長期的な分析がもたらす深みと、リアルタイムのインサイトがもたらすスピードの両方を手に入れることができます。一刻を争う脅威の状況において、これは非常に大きな進歩です。
実際の動作をご覧になりたいですか? Sumo Logic Cloud SIEMの詳細をご覧ください。
原文: https://www.sumologic.com/blog/sumo-logic-historic-baselining
- カテゴリ:
- Sumo Logic
- 技術情報
- 技術コラム
