UEBA の概要とユーザーの詳細
IBM® QRadar® User Entity Behavior Analytics (UEBA) アプリには、ネットワーク内のユーザーの全体的なリスク・データが表示されます。
「概要」ページ
「表示: すべてのユーザー」 フィールドで、ダッシュボード・ビューをカスタマイズするためのビューを作成および選択できます。 詳細については、 UEBAダッシュボードビューの管理を参照してください。
検索フィールドでは、名前、メールアドレス、ユーザー名でユーザーを検索することができます。 名前を入力すると、アプリには、上位 5 件の結果が表示されます。
「テナント」 ラベルには、表示されている現在のテナントのドメイン名が表示されます。
各ユーザーのリスク・レベルは、アイコンで示されます。 黄色の正方形アイコン (低) は、リスクがリスクしきい値の 25% 以下であることを示します。 オレンジ色のひし形 (中) は、リスクがリスクしきい値の 50% にあることを示します。 赤色のピラミッド (高) は、リスクが 75% であることを示します。 赤い三角形 (クリティカル) は、リスクが 100% 以上であることを示します。
| ダッシュボード設定 | 説明 |
|---|---|
| モニター対象ユーザー | UEBA アプリケーションがアクティブにモニターしているユーザーの総数を表示します。 |
| 監視対象 | UEBA アプリがアクティブに監視しているエンティティの総数を表示します。 |
| 高リスク・ユーザー | 現在リスク・スコアを超えているユーザー数を表示します。 リスク・スコアを決定するための値は、「 UEBA 設定」の「オフェンスをトリガーするリスクしきい値」で設定されます。 |
| イベントから検出されたユーザー | イベントから検出されたユーザーの数 (インポートされたユーザーを除く) を表示します。 |
| ディレクトリーからインポートされたユーザー | リファレンス・テーブルからインポートされたユーザーの数を表示します。 |
| ハイリスク事業体 | 現在リスクスコアを超えているエンティティの数を表示します。 リスク・スコアを決定するための値は、「 UEBA 設定」の「オフェンスをトリガーするリスクしきい値」で設定されます。 |
| アクティブな分析 |
|
| モニター対象ユーザー | 最もリスクの高い上位 10 人のユーザーを表示します。 ユーザー名をクリックすると、「ユーザーの詳細」パネルに使用可能な詳細が表示されます。
|
| 最新のオフェンス | オフェンスの最終更新日時を基準にソートされた最新のオフェンス 5 個を表示します。 |
| [ユーザー] 監視リスト | 自分が作成した監視リスト。 監視リストは必要な数だけ作成することができ、ダッシュボードに表示されます。 「検索」ページで作成済みのカスタムの監視リスト内のすべての追跡対象ユーザーを確認できます。 ヒント: ユーザーをウォッチ・リストに追加するには、 「ウォッチ・リスト」 アイコンをクリックします。 数値は、そのユーザーがメンバーになっている監視リストの数を示します。 |
| システム・スコア | 指定された時点におけるすべてのユーザーの全体的な集計リスク・スコア。 1 日より長い日付範囲を指定するには、「カレンダー (Calendar)」アイコンをクリックします。 選択できる最大期間は、過去 1 年間の任意の 30 日間です。 注: カスタム・ダッシュボード・ビューを表示している場合、「システム・スコア」グラフは表示されません。 |
| リスク・カテゴリーの明細 | 過去 1 時間のハイレベル・リスク・カテゴリー。 グラフをクリックしてサブカテゴリーを表示してから、クリックしてイベントを表示します。 「表ビュー」アイコンをクリックすると、同じ情報が表形式で表示されます。 注: カスタム・ダッシュボード・ビューを表示している場合、「リスク・カテゴリーの明細」グラフは表示されません。 |
| 休止アカウントを持つユーザー | 休止アカウントを持つとしてフラグが立てられているユーザーの監視リスト。 「休止アカウントを持つユーザー (Users with Dormant Accounts)」は自動的に生成されます。 |
| アクティブな調査 | 現在調査対象であるユーザー。 自分が開始した調査のみを表示するには、「自分の調査」チェック・ボックスを選択します。 |
| 機械学習モデルの状況 | Machine Learning Analytics の状況は、Machine Learning アプリがインストールされている場合に表示されます。 詳しくは UEBAダッシュボード Machine Learning をご覧ください。 |
「ユーザーの詳細」ページ
アプリケーション内の任意の場所からユーザー名をクリックして「ユーザーの詳細」パネルを開き、選択したユーザーの詳細を表示できます。 完全な「ユーザーの詳細」ページを開くには、パネル上の「ユーザーの詳細の表示」をクリックします。
イベント・ビューアー・ペインでは、ユーザーのアクティビティーの詳細情報を確認できます。 イベント・ビューアー・ペインには、選択したアクティビティーまたは選択した時点に関する情報が表示されます。 イベント・ビューアー・ペインでイベントをクリックすると、Syslog イベントやペイロード情報などの詳細が表示されます。 イベント・ビューアー・ペインは、「ユーザーの詳細」ページの「リスクのあるアクティビティーのタイムライン」のすべてのドーナツ・グラフ、折れ線グラフ、およびアクティビティーで使用できます。
- 選択されたユーザーの名前と別名、および LDAP からインポートされた属性からの追加の詳細情報 (ドメイン、マネージャー、ピアの情報を含む) を表示します。
- 対象のユーザーに関連付けられているすべてのアカウントの状況 (「休止 (Dormant)」、「アクティブ」、「未使用 (Never Used)」) を表示します。
- IBM QRadar Advisor with Watson 2.5.2 以降がインストールされている場合は、ユーザーに関連する情報を検索できます。 QRadar の管理者特権が必要です。 「検索」 Watson アイコンをクリックします。
- ユーザーに対する調査を開始するには、「調査の開始」アイコンをクリックします。 調査が完了したら、「調査の終了」アイコンをクリックします。
- 監視リストにユーザーを追加する、または監視リストを作成するには、「監視リスト」 アイコンをクリックします。
| 拡張アクション | 説明 |
|---|---|
| カスタム・アラートの追加 | ユーザー名別に表示されるカスタム・アラートを設定できます。 「カスタム・アラートの追加」をクリックし、アラート・メッセージを入力し、「設定 (Set)」をクリックします。 選択したユーザーに関するカスタム・アラートを削除するには、「カスタム・アラートの削除」をクリックします。 |
| トラステッド・ユーザー・リストに追加 | QRadar の管理者特権が必要です。 選択したユーザーをトラステッド・ユーザー・リストに追加して、そのユーザーがリスク・スコアやオフェンスを生成しないようにします。 選択したユーザーをリストから削除するには、「トラステッド・ユーザー・リストから削除 (Remove from trusted users list)」をクリックします。 リストに追加されたユーザーの完全なリストを確認するには、 信頼済みユーザーリストの表示を参照してください。 |
| ユーザーの GDPR 準拠レポートの生成 | ユーザーの一般データ保護規則 (GDPR) 準拠レポートを生成できます。 重要: 「ユーザーのトラッキングを削除および停止 (Delete and stop tracking user)」をクリックする前に、レポートを生成してください。
|
| ユーザーのトラッキングの削除および停止 | QRadar の管理者特権が必要です。 一般データ保護規則 (GDPR) に準拠するには、「ユーザーのトラッキングの削除および停止」をクリックします。 ユーザーの追跡を完全に削除および停止するには、「はい」を選択します。 ユーザーの追跡を再度開始するには、「UBA : 追跡されないユーザー (UBA : Users Not Tracked)」リファレンス・セットからユーザーの別名を削除します。 ユーザーの別名をすべて表示するには、ユーザーを削除する前に GDPR レポートをダウンロードします。 UBA : Users Not Tracked リファレンス・セットの詳細については、 リファレンス・セットを参照してください。 |
| 常に Machine Learning で追跡 | QRadar の管理者特権が必要です。 「常に Machine Learning で追跡」をクリックして、ユーザーを 「UBA: ML 常に追跡される監視リスト (UBA: ML Always Tracked Watchlist)」リファレンス・セットに追加できます。 ユーザーをリファレンス・セットに追加することにより、そのユーザーが機械学習モデルに含められる可能性が最も高くなります。 UBAの参照セットの詳細については、 参照セットを参照してください。 選択したユーザーをリファレンス・セットから削除するには、 機械学習による追跡をクリックします。 |
| ユーザーの詳細 | 説明 |
|---|---|
| 全体のリスク・スコア | 「全体のリスク・スコア」には、ユーザーのリスク・トレンドが表示されます。 |
| 時刻 | タイムライン・グラフには、ユース・ケースとユーザー・イベントが表示されます。 ユース・ケースとは、リスク・スコアを上げる要因となるイベントです。 ユーザー・イベントは、ユーザーによってトリガーされるすべてのイベントです。 Y 軸はイベント数、X 軸は時間です。 タイムライン上の任意のアクティビティーをクリックすると、ユーザーのアクティビティーに関連付けられたサポート・ログ・イベントをリストするイベント・ビューアー・ペインを開くことができます。 イベントをクリックすると、Syslog イベントやペイロード情報などの詳細が表示されます。
|
| 最新のオフェンス | ユーザー名が選択したユーザーの別名のいずれかに一致するユーザー・タイプ・オフェンスを表示します。 最新の 5 件のオフェンスが表示されます。 QRadar で「オフェンス」タブを開くには、オフェンスをクリックします。 |
| リスク・カテゴリーの明細 | 選択したユーザーの過去 1 時間のリスク・カテゴリーを表示します。 |
| 注 | 選択したユーザーのメモを追加するには、「新規メモ」セクションにメモを入力します。 メモは、30 日間の保存期間が経過すると自動的に削除されます。 注: メモを無期限に保存するには、 「無期限に保持」 アイコンをクリックします。
|
Machine Learning Analytics アプリケーションがインストールされ、指定されたモデルが有効になっている場合に「ユーザーの詳細」ページに表示されるように、いくつかの機械学習グラフを構成できます。 詳しくは UEBAダッシュボード Machine Learning をご覧ください。
メインの「UBA の概要」ページに戻るには、「概要」をクリックします。