クライアントの端末操作管理ソリューションを導入している場合、Sumo Logicで行動監視を実現することができます。
行動監視とは
行動監視とは、一般的にUEBA(User and Entity Behavior Analytics)と呼ばれており、機械学習を用いてユーザー等の通常の行動を学習後、異常行動を検知してその行動にセキュリティ上の影響があるかどうかを推定するセキュリティソリューションです。
ただ、UEBAは高額なソリューションであるため導入の検討をしているが導入まで至っていない企業は多いのではないでしょうか。
また、機械学習や自動といった用語で錯覚を起こしてしまいますが、何がリスクなのか、何を検知したいのかといったことはそれぞれの企業で決めていかなければいけません。
行動監視ソリューションを検討するにあたって
SIEMやUEBAで何かの異常行動の検知を行いたい場合、検討が必要な項目は以下になるかと思います。
- 何を異常な行動とみなすか
- その異常はどのくらいのリスクなのか
- そのリスクがどのようにして脅威となるのか
- 検知したい異常行動のログは取得するログに含まれているのか
これらの検討内容を持って「ルール検知型」(SIEM)と「機械学習型」(UEBA)で導入の検討していくのが良いかと思います。
行動スコアリングダッシュボード
Sumo LogicではCIP(Continuous Intelligence Platform:標準で使えるサービス基盤)を用いてルール検知型の行動分析を行うことが可能です。
・・・Sumo LogicのCSE(Cloud SIEM Enterprise:次世代型SIEM)を使うとUEBAに近い機能も使うことができるのですが、その点はまた別のブログ記事で記載したいと思います。
端末操作管理ソリューションのログをSumo Logicへ取り込み各行動を行うごとにスコアリングしていくダッシュボードを作成してみました。
ダッシュボードでは以下の行動をスコアリングの対象としています。
- 転職サイトの閲覧
- 業務時間外のプリンタの利用
- 業務時間外のUSBの利用
- SNSの閲覧
1週間のログを用いてそれぞれの行動においてどのくらいその行動を行っていたかの回数でスコアを付けています。
どれくらいのスコアに何ユーザーいるのかが一目でみて分かります。
どのユーザーから調査していけばよいかといった一つの指標にもなると思います。
例えば、それぞれの行動のスコアのみを見てもそのユーザーの行動が常に業務で行っているものなのかそれともいつもと違った行動をしているのか見分けがつかないと思います。
スコアと共に2週間前からそのユーザーの行動の回数をグラフにして前の週と同じくらいの推移となっているか、いきなりその行動の回数が増えているのかというのを確認することもできます。
また、紹介したダッシュボードとは別でさらに詳細な情報を見ることのできるダッシュボードを作成しておくことでスコアの高いユーザーがどのような行動をしていたのかを細かく見ていくことができます。
多くのユーザーの中からこのユーザーが怪しいといったことを見つけ出すのは困難だと思いますがスコアリングがあることでどのユーザーが怪しいのか、どのユーザーから調査していけばよいのかといったところの一つの指標になるのではないかと思います。
まとめ
行動スコアリングダッシュボードは、一つのアプリケーションのみでダッシュボードを作るのではなく、複数のアプリケーションのログを使用してスコアリングのダッシュボードを作成することも可能です。
何の行動でスコアリングを行うか、行動をどのようにしたらスコアリングするか、スコアリングの方法はカスタマイズできます。
端末操作管理ソリューションにもダッシュボードがありますが、単体の行動を見ることしかできず一連の行動をした時に検知することが難しいです。例)
ファイルをダウンロード → ファイル名変更 → ファイルをアップロードサイトにアップロード
例として上記の行動をあげましたが、スコアリングのダッシュボードでスコアリングを行う一つのルールとして使用することも可能ですし、Sumo Logicのアラート機能を使って検知することも可能です。
まだご紹介できていないダッシュボードはたくさんありますのでどんどん紹介していきます!
