UEBA（ユーザーとエンティティの行動分析）：2025年完全ガイド

ユーザーとエンティティの行動分析（UEBA）とは？

UEBAとは、User and Entity Behavior Analyticsの略で、ユーザーやエンティティの行動を分析し、異常で悪意のある可能性のある行動を検知するサイバーセキュリティ技術である。UEBAは、機械学習と高度なアナリティクスを使用して、既知の脅威だけでなく、行動のパターンに焦点を当て、通常の活動からの逸脱を特定することで、従来のセキュリティ対策を超えています。これにより、組織は内部脅威、漏洩した認証情報、その他の巧妙な攻撃を検知することができます。(関連コンテンツ：セキュリティ分析ガイドを読む）

The core function of UEBA includes:

• Behavioral analysis: UEBA systems analyze user and entity behavior, including actions like login attempts, file access, network traffic, and application usage. 
• Anomaly detection: It establishes a baseline of normal behavior for each user and entity and then flags deviations from that baseline as potential threats. 
• Machine learning: UEBA leverages machine learning algorithms to identify subtle patterns and anomalies that might be missed by traditional security methods.

主な利点は以下の通り：

• 脅威検知の強化：UEBAは、内部脅威、侵害されたアカウント、高度な持続的脅威（APT）など、より広範な脅威を検知することができます。
• Improved security posture: By proactively identifying suspicious activity, UEBA helps organizations improve their overall security posture and reduce the risk of data breaches. 
• Reduced false positives: UEBA’s ability to analyze context and behavior helps minimize false alarms, allowing security teams to focus on genuine threats. 
• Faster incident response: By quickly identifying and alerting on anomalous behavior, UEBA enables faster incident response and containment. 
• Comprehensive visibility: UEBA provides a comprehensive view of user and entity activity, helping organizations understand how their systems are being used and identify potential security weaknesses.

UEBAツールは、伝統的な機械学習とディープラーニングに基づく革新的なアルゴリズムを使用し、企業ネットワーク上のユーザー、マシン、その他のエンティティによる異常で危険な行動を発見する。セキュリティインシデント・イベント管理（SIEM）解決策だ。

---

The Growing Need for UEBA: Insider Risks Surpass External Threats

According to our recent report, From Human to Hybrid: How AI and the Analytics Gap Are Fueling Insider Risk, insider risks have now surpassed external threats as the leading concern for security teams. In our survey, 64% of cybersecurity professionals identified malicious or compromised insiders as a greater danger than outside attackers, compared to 36% who pointed to external actors. 

この64％のうち、42％が悪意のある内部関係者を主な懸念事項とし、22％が危険な内部関係者を挙げている。半数以上（53％）は、インサイダー事件が過去1年間に増加したと報告し、54％は今後1年間にさらに増加すると予測している。

検出能力は未発達のままだ。唯一44％の組織は、ユーザーとエンティティの行動分析（UEBA）を使用しています。しかし88％が内部脅威プログラムを導入していると回答しかし、その多くは非公式であり、資金も不足している。また、リーダーシップの連携にもギャップがある：セキュリティ専門家の74経営陣はインサイダーリスクを過小評価している。

​76%の組織で、従業員によるGenAIツールの不正使用が確認されています。AIによって強化されたフィッシングやソーシャルエンジニアリング（27％）、不正なGenAIの使用（22％）は、特権の悪用（18％）と並んで、インサイダーの脅威ベクトルの上位にランクされています。

セキュリティリーダーは、より良い行動洞察の必要性を認識しているが、技術的・組織的な障害に直面している。プライバシーへの抵抗（20％）、可視性の欠如（16％）、断片的なツール（10％）は、検知努力の盲点となっている。

---

UEBAの仕組み

ユーザーとエンティティの行動分析（UEBA）は、ユーザーとエンティティの行動を分析し、高度な分析と行動モデリングを適用して異常な行動を判断するサイバーセキュリティ・ソリューションまたは機能のカテゴリです。UEBAは、悪意のある内部関係者や特権アカウントの侵害など、従来のルールベースのセキュリティ・ツールでは発見できなかった高度なセキュリティ脅威を発見するために使用されます。UEBAソリューションは、多くのソースから運用データを取り込み、あらゆるユーザーや人間以外のエンティティの正常な挙動を判断します。エンティティには、ホスト、アプリケーション、ネットワーク・トラフィック、サービス・アカウント、データ・リポジトリなどのIT資産が含まれます。時間の経過とともに、このソリューションはピアグループ全体のユーザーとエンティティの行動の標準プロファイルを構築し、組織における正常な行動のベースラインを作成します。異常な行動が特定されると、リスク・スコアが割り当てられる。スコアは、あらかじめ定義されたしきい値を超えてセキュリティ・アナリストに警告が発せられるまで、異常な行動が増えるにつれて上昇する。ソリューションによっては、対応アクションを自動化できるものもある。

Here’s a more detailed look at UEBA’s core function:

• Machine learning: UEBA applies supervised and unsupervised machine learning techniques to detect subtle anomalies that static rules cannot catch. Algorithms can adapt as user behavior evolves, reducing the need for constant manual updates. This allows the system to uncover hidden attack patterns, such as low-and-slow data exfiltration or privilege abuse, that unfold gradually and might otherwise evade detection.
• Behavioral analysis: UEBA collects and correlates data from multiple sources such as authentication logs, file systems, email, and cloud applications to build a comprehensive view of activity. It tracks not just isolated events but also sequences of actions over time, making it possible to identify unusual workflows, access attempts, or usage patterns that may indicate misuse or compromise.
• Anomaly detection: Once normal behavior profiles are established, UEBA continuously compares new activity against these baselines. Deviations such as login attempts from unusual locations, excessive file downloads, or unexpected access to sensitive resources are flagged. The system assigns context to these anomalies, helping analysts distinguish between benign deviations and genuine threats.

関連コンテンツ行動プロファイリングに関するガイドをお読みください。

複数のデータソースにまたがる全体的な分析

UEBAソリューションの真の威力は、組織の境界、ITシステム、データソースを横断し、特定のユーザーやエンティティについて利用可能なすべてのデータを分析する能力にある。

UEBAソリューションは、できるだけ多くのデータソースを分析すべきである：

• のような認証システム。アクティブディレクトリ
• VPNやプロキシなどのアクセスシステム
• 構成管理データベース
• 人事データ-新入社員、退社した社員、およびユーザーに関する追加情報を提供するあらゆるデータ
• ファイアウォール、侵入検知防御システム（IDPS）
• マルウェア対策およびウイルス対策システム
• エンドポイント検出および応答システム
• ネットワーク・トラフィック分析
• 脅威インテリジェンスフィード

例えば、UEBAソリューションは、アクティブディレクトリ、ログオンされたデバイスの重要性、アクセスされたファイルの機密性、侵害を可能にした可能性のある最近の異常なネットワークやマルウェアの動きと照合して、異常なログインを特定できるはずである。

行動ベースラインとリスクスコア

UEBAソリューションは、正常な行動を学習して異常な行動を特定する。UEBAソリューションは、ユーザーのベースラインまたは行動プロファイルを決定するために、広範なデータのセットを調べます。

例えば、システムはユーザーを監視し、彼らがどのようにVPNを使用しているか、何時に出社し、どのシステムにログインしているか、どのプリンターを使用しているか、どのくらいの頻度でどのくらいのサイズのファイルを電子メールで送信したり、USBドライブに読み込んだりしているか、その他ユーザーの「通常の行動」を定義する多くのデータポイントを確認する。サーバー、データベース、その他重要なITシステムについても同様である。

ベースラインからの乖離があると、システムはそのユーザーやマシンのリスクスコアを加算する。挙動が異常であればあるほど、リスク・スコアは高くなる。より多くの不審な行動が蓄積されるにつれ、リスク・スコアは閾値に達するまで増加し、調査のためにアナリストにエスカレーションされる。

この分析アプローチにはいくつかの利点がある：

• 集約 - リスク・スコアは多数のイベントから構成されるため、アナリストが大量の個々のアラートを手作業で確認し、脅威を検出するためにそれらを精神的に組み合わせる必要はない。
• 誤検知の低減 1つのわずかな異常事象が発生しただけでは、セキュリティ・アラートは発せられない。このシステムでは、アラートを生成するために複数の異常動作の兆候が必要であるため、偽陽性の数が減少し、アナリストの時間が節約される。

より多くのコンテキスト-セキュリティ管理者によって定義された従来の相関ルールは、ある一連のユーザーやシステムに対しては正しくても、他のユーザーやシステムに対しては正しくなかったかもしれない。例えば、ある部署がシフト・ワーカーやオフショア・ワーカーを雇用し始めた場合、彼らは通常とは異なる時間にログインするようになるため、ルール・ベースのアラートが常に発動することになる。UEBAは、ユーザー・グループごとにコンテキストに応じたベースラインを確立するため、よりスマートだ。オフショア・ワーカーが現地時間の午前3時にログインしても、異常なイベントとはみなされない。

タイムライン分析とセッションのつなぎ目

セキュリティ・インシデントを分析する際、タイムラインは、一見無関係に見える活動を結びつけることができる重要な概念である。現代の攻撃は、孤立した事象ではなく、プロセスである。

例えば、ログインして不審な行動をとり、その後ログから消えたユーザーを考えてみよう。その後すぐに、同じIPが他の組織のシステムへの接続に使われたのでしょうか？もしそうなら、これは同じインシデントの一部である可能性があり、同じユーザーがシステムに侵入する試みを続けていることになります。さらに、攻撃者が異なる認証情報を使って同じマシンに何度もログインしている例も考えられます。この場合も、さまざまなログイン試行に関するデータを「つなぎ合わせて」、1つのインシデントとしてフラグを立てる必要があります。

---

UEBA use cases and examples

インサイダーの脅威

内部脅威には3つのタイプがある：

1. 過失のある内部者-過失のある内部者とは、ITシステムに特権的にアクセスできる従業員や請負業者のことで、適切なIT手続きに従わないために、意図せずに組織を危険にさらしてしまう。例えば、ログアウトせずにコンピュータから離れる人、デフォルト・パスワードを変更しなかった管理者、セキュリティ・パッチを適用しなかった管理者などです。ユーザーの正常な行動と異常な行動を識別することは、過失によって危険にさらされたユーザーを検出するための鍵となります。
2. 悪意のある内部関係者 -悪意のある内部関係者とは、ITシステムに特権的にアクセスできる従業員や請負業者のことで、組織に対するサイバー攻撃を意図している。ログファイルや通常のセキュリティイベントから悪意のある意図を測定したり発見したりすることは困難です。UEBAソリューションは、ユーザーの典型的な行動のベースラインを確立し、異常な行動を検出することで役立ちます。
3. 侵害された内部関係者-攻撃者が組織に侵入し、ネットワーク上の特権ユーザーアカウントや信頼できるホストを侵害し、そこから攻撃を継続することはよくあることです。UEBAソリューションは、攻撃者が侵害されたアカウントを介して実行する悪意のあるアクティビティを迅速に検出・分析するのに役立ちます。

従来のセキュリティ・ツールでは、攻撃パターンやキル・チェーンが現時点で判明していない場合（ゼロデイ攻撃など）、あるいは認証情報、IPアドレス、マシンを変更することで組織内を横方向に移動する攻撃の場合、侵害された内部関係者を検知することは困難でした。しかし、UEBAテクノロジーはこのようなタイプの攻撃を検知することができます。なぜなら、攻撃はほとんどの場合、資産に確立されたベースラインとは異なる振る舞いをさせるからです。

インシデントの優先順位付け

SIEMは、複数のセキュリティ・ツールや重要なシステムからイベントやログを収集し、セキュリティ・スタッフが調査しなければならない大量のアラートを生成します。これは、セキュリティ・オペレーション・センター（SOC）の一般的な課題であるアラート疲労につながります。

UEBAソリューションは、どのインシデントが組織の状況において特に異常であるか、疑わしいか、潜在的に危険であるかを理解するのに役立ちます。UEBAは、ベースラインや脅威モデルを超えて、組織構造に関するデータ、例えば資産の重要度や特定の組織機能の役割とアクセス・レベルに関するデータを追加することができます。重要な保護対象システムやトップレベルの管理者であれば、標準からのわずかな逸脱であっても、調査官にとっては一見の価値があるかもしれない。

データ損失防止（DLP）とデータ漏洩防止

データ損失防止（DLP）ツールは、データの流出、つまり組織の境界外への不正なデータ転送を防止するために使用されます。従来のDLPツールは、センシティブなデータに対して実行された異常なアクティビティをレポートします。

UEBAソリューションは、DLPアラート、どのイベントが既知のベースラインと比較して異常な挙動を示すかを理解することによって、優先順位を付け、統合することができます。これにより、調査員の時間を節約し、実際のセキュリティ・インシデントを迅速に発見することができます。

エンティティ分析（IoT）

UEBAは、モノのインターネット（IoT）セキュリティ・リスクに対処する上で特に重要である。企業は大規模なコネクテッド・デバイスを配備しているが、多くの場合、セキュリティ対策は最小限か全く施されていない。攻撃者はIoTデバイスを危険にさらし、それを使ってデータを盗んだり、他のITシステムにアクセスしたりすることができる。

IoTの2つの敏感なカテゴリーは、医療機器と製造装置である。接続された医療機器には重要なデータが含まれている可能性があり、患者の治療に直接使用されると生命を脅かす可能性がある。製造装置は、機能停止した場合、多額の金銭的損失をもたらす可能性があり、場合によっては従業員の安全を脅かすこともある。

UEBAは、接続されたデバイスを追跡し、各デバイスまたは類似したデバイスのグループごとに動作のベースラインを確立し、デバイスが通常の境界を外れて動作しているかどうかを即座に検出することができます。例えば

• 異常なアドレスやデバイスへの接続、または異常なアドレスやデバイスからの接続
• いつもと違う時間帯の活動
• 通常使用されていないデバイスの機能が有効になっている

---

UEBAとSIEMの融合

UEBAとSIEM技術の間には密接な関係がある。なぜなら、UEBAは分析を実行するために組織横断的なセキュリティ・データに依存しており、このデータは通常SIEMによって収集・保存されているからである。

ガートナーはUEBAをSIEMに組み込まれた機能として捉えている。振る舞い分析は、ガートナーがセキュリティ情報およびイベント管理のマジック・クアドラントでベンダーを評価する機能の1つです。ガートナーは、SIEMの機能として次のようなものを挙げている：

• セキュリティ・デバイス、ネットワーク・インフラ、システム、アプリケーションから生成されるイベント・データを集約する
• スコアリング、優先順位付け、調査の迅速化を目的として、イベントデータをユーザー、資産、脅威、脆弱性に関するコンテキスト情報と組み合わせる。
• より効率的に分析するためにデータを正規化する
• セキュリティ監視のためのイベントのリアルタイム分析、ユーザーとエンティティの行動の高度な分析、分析のクエリ、インシデントの調査と管理のサポート、およびレポーティングを提供します。

---

UEBAと類似技術の比較

UEBA vs NTA

ネットワークトラフィック解析（NTA）は、ネットワーク通信を監視・分析し、異常や侵害の兆候を検出することに重点を置いている。UEBAとNTAはどちらも異常な挙動を特定するが、その範囲は異なる。

UEBAは、ネットワークアクティビティだけでなく、エンドポイント、アプリケーション、ディレクトリを含む多様なシステムにわたるユーザーとエンティティの行動を調査します。NTAはネットワーク・データに限定され、横の動きやデータ流出のような脅威の特定を得意とします。対照的に、UEBAは特権アクセスの不正使用、異常なログイン動作、ファイル・アクセス・パターンの変化を伴う脅威を検出することができます。NTAは通常、リアルタイムのトラフィック解析をサポートするのに対し、UEBAは長期的な挙動をモデリングするためにリアルタイムと履歴データの両方を使用します。

UEBAとNTAは互いに補完し合うことができる：NTAは不審なネットワーク経路を浮き彫りにし、UEBAは誰が、あるいは何が関与しているかについての行動コンテキストを提供する。

UBA vs UEBA

ユーザー行動分析(UBA)は、人間のユーザーのみに焦点を当てた旧世代のテクノロジーである。ユーザーの行動を分析し、クレデンシャルの誤用、内部脅威、不審なアクセスパターンなどのリスクを検出します。

UEBA（User and Entity Behavior Analytics：ユーザーとエンティティの行動分析）は、サーバー、アプリケーション、IoTデバイスのような人間以外のエンティティを含めることで、この概念を拡張している。多くの攻撃が人間のユーザーを超えたエンティティを標的としたり、そこから発生したりするため、このような広範なスコープは非常に重要です。また、UEBAには通常、ハイブリッド環境全体の複雑な行動異常を特定できる機械学習モデルなど、より高度な分析が組み込まれています。

つまり、UEBAはUBAを基盤として、IT環境内のすべてのエンティティやそれらの間の関係性をより包括的に把握できるようにしたものである。

---

UEBAの分析手法

UEBAソリューションの中には、疑わしい活動を特定するために従来の手法に依存しているものがある。これには、手動で定義したルール、セキュリティ・イベントと既知の攻撃パターンとの相関関係などがある。従来の手法の限界は、セキュリティ管理者が定義したルールと同程度の性能しかなく、新しいタイプの脅威やシステム動作に適応できないことです。

アドバンスド・アナリティクスには、既知のパターンがない場合でも異常な行動を特定するのに役立つ最新のテクノロジーがいくつか含まれている：

• 教師あり機械学習-既知の良い行動と既知の悪い行動のセットがシステムに供給される。ツールは新しい行動を分析し、それが既知の良い行動セットまたは既知の悪い行動セットに「似ている」かどうかを判断するように学習する。
• ベイジアンネットワーク-教師ありの機械学習とルールを組み合わせて、行動プロファイルを作成することができる。
• 教師なし学習-システムは正常な行動を学習し、異常な行動を検知して警告することができる。異常な行動が良いか悪いかはわからないが、正常な行動から逸脱していることだけはわかる。
• 強化/半教師あり機械学習-基本は教師なし学習であり、実際のアラート解像度をシステムにフィードバックしてモデルの微調整を可能にし、S/N比を下げるハイブリッドモデル。
• ディープラーニング-仮想的なアラートのトリアージと調査を可能にします。このシステムは、セキュリティ・アラートとそのトリアージ結果を表すデータ・セットで学習し、特徴の自己識別を行い、新しいセキュリティ・アラート・セットのトリアージ結果を予測することができる。

従来のアナリティクス手法は決定論的であり、特定の条件が真であればアラートが生成され、そうでなければシステムは「すべて問題なし」と仮定する。上記の高度な分析手法は、発見的であるという点で異なります。リスクスコアは、イベントが異常またはセキュリティインシデントを表す確率である。リスクスコアがある閾値を超えると、システムはセキュリティアラートを作成する。

---

UEBA導入の課題

データ統合スケーリング

UEBA導入における大きな課題の1つは、多様なデータソースの統合です。UEBAシステムは、ID管理システム、アプリケーション・ログ、ネットワーク・トラフィック、エンドポイント・テレメトリなどからの包括的で高品質なデータに依存している。これらのソースを統合することは、多くの場合、形式もボリュームも異なるため、複雑で時間のかかる作業となります。

スケーラビリティも問題だ。組織が成長し、デバイス、アプリケーション、ユーザーが増えるにつれて、データ量は指数関数的に増加します。UEBAソリューションは、パフォーマンスを維持しながら、このデータをほぼリアルタイムで処理しなければなりません。適切な計画を立てないと、パフォーマンスのボトルネックやレイテンシーの増大により、検知能力やアナリストのワークフローが低下する可能性があります。

偽陽性

高度なアナリティクスにもかかわらず、UEBAの導入では依然として誤検知が重大な懸念事項となっています。システムが良性の異常（例えば、新しい場所で作業している正当なユーザー）に対してあまりにも多くのアラートを生成する場合、セキュリティ・アナリストは圧倒されたり、鈍感になったりする可能性があります。

この問題は多くの場合、未熟なベースライニングや行動モデルにおける不十分なコンテキストに関連している。時間が経つにつれて、システムが学習し、リスクスコアリングを微調整するにつれて、誤検知は減少する。しかし、配備の初期段階やダイナミックな環境では、許容可能なアラート品質を維持することは難しい。

必要なスキルとリソース

UEBAプラットフォームは、設定、チューニング、メンテナンスに熟練した人材を必要とする。組織には、行動分析、脅威検知、インシデント対応に関する知識を持つアナリストが必要です。さらに、適切なデータの取り込みと正規化を確実に行うために、データ・エンジニアが必要になる場合もあります。

小規模な組織では、本格的なUEBAの導入をサポートするための専門知識や人員が不足している可能性がある。大企業であっても、UEBAを既存のセキュリティ・オペレーションに統合するには、モデルの正確性と有効性を維持するために多大な時間投資と継続的な努力が必要になる場合がある。

---

UEBA導入のための主なベストプラクティス

1.包括的で質の高いサービスを確保する。データ統合

UEBA システムは、行動を正確にモデル化するために、豊富で多様なデータに依存している。アイデンティティ・プロバイダ（アクティブディレクトリ、LDAPなど）、エンドポイント・ログ、クラウド・アプリケーション、VPN、プロキシ、ネットワーク・トラフィックなどの主要なデータ・ソースを特定することから始めます。完全な行動プロファイルを構築するために、構造化データと非構造化データの両方を取り込む。

コネクタ、API、またはログシッパーを使用してデータ収集を自動化し、ソース間の時刻同期が一貫していることを確認します。データの正規化とエンリッチメントプロセスに投資し、フォーマットを標準化し、曖昧さを解消し、ユーザーの役割や資産の分類などの関連するメタデータにタグ付けする。

質の高いデータは単なる技術的な要件ではなく、UEBAが有意義で実用的な洞察を生み出すための基盤です。データの質が低いと、ベースラインが歪み、異常検知の効果がなく、誤検知が増加します。

2.堅牢な行動ベースラインの確立

UEBAの有効性は行動モデルの強さに依存する。まず、システムに観察期間（通常は数週間）を設け、その間は警告を出さずに行動を監視する。この期間中、システムは利用パターン、アクセス時間、ネットワーク相互作用、およびシステム動作を学習することにより、ユーザーとエンティティのベースラインを確立する。

より精度を高めるためには、ベースラインはピアアウェアであるべきであり、同じ業務カテゴリに属する類似した役割またはシステムのユーザー間の行動比較を取り入れるべきである。部署や場所などの組織のコンテキストを組み込むことで、ベースラインを調整し、誤分類を防ぐことができる。

定期的にベースラインを見直し、改善する。遠隔地のチームが加わったり、季節的にアクティビティが急増するなど、業務が変化した場合は、システムが適応するようにする。ダイナミックな環境における静的なベースラインは、盲点やアラート疲労につながる。

3.しきい値とリスクスコアリングを慎重に設定する。

すべての異常が同等の懸念を保証するわけではない。UEBAシステムは、逸脱の重大性を評価するためにリスクスコアを使用するが、これは慎重に調整されなければならない。アナリストに負担をかけないよう、保守的な閾値から始め、運用上のフィードバックやインシデント分析に基づいて調整する。

リスクスコアリングは、異常の頻度、重大性、影響を受けるシステムまたはユーザの重要性を考慮する必要がある。例えば、管理者による高価値のサーバーへの異常なログインは、一般的なワークステーショ ンでの同じアクションよりも重視されるべきである。

可能であれば動的なしきい値を使用する。時間の経過とともに許容できる差異を学習する適応型システムは、より微妙なアラートを提供することができる。また、エスカレーションパスを定義し、信頼性が高くリスクの高いイベントに対する対応アクションを自動化することで、ミティゲーションを迅速化します。

4.コンテキストと脅威インテリジェンス

トリアージまでの時間を短縮し、意思決定を改善するためには、コンテキストが不可欠です。人事システムのメタデータ（雇用形態、部署など）、資産目録（システムの重要度など）、および過去の行動パターンを用いてアラートを充実させる。ログイン時間、デバイスID、ジオロケーション、データアクセスログなどの詳細を含める。

脅威インテリジェンス・フィードを統合して、既知の侵害の指標（IOC）や攻撃者の戦術、技術、手順（TTP）と異常を照合します。これにより、ランダムな異常と標的型脅威を区別することができます。

エンリッチされたアラートを分析者に分かりやすい形式で提示し、攻撃チェーンの関連イベントにリンクします。これにより、手作業による調査時間を最小限に抑え、対応措置の質を向上させます。

5.セキュリティ・スタックとワークフローとのインライン統合

価値を最大化するためには、UEBAをより広範なセキュリティ・エコシステムの中で運用する必要がある。SIEMプラットフォームと統合し、既存のログ収集と相関機能を活用する。リスクスコアとアラートをSOARシステムにフィードし、デバイスの隔離や認証情報のリセットなど、自動化されたプレイブックの実行を可能にする。

UEBAのアウトプットが既存のインシデント対応ワークフロー、発券システム、およびレポート・ダッシュボードに確実にマッピングされるようにします。これにより、検知チームと調査チームの間でシームレスなハンドオフが可能になり、重複作業を避けることができます。

統合を徹底的にテストする-UEBAシステムは、正確なアラートを提供するだけでなく、運用の現実に適合していなければなりません。アラートの量、応答時間、使いやすさは、検知の忠実性と同じくらい重要です。行動分析がセキュリティ運用ライフサイクルの自然な一部となるような、緊密に連携したアーキテクチャを目指しましょう。

---

Exabeam:SIEMとUEBAの統合ソリューション

SIEMの幅広いデータと、最先端のUEBAエンジンが可能にする深い分析を組み合わせたシステムが、現場でいくつか展開されている。

統合システムの一例として、Exabeam SOC Platformがある。Exabeamは、最新のデータレイク・テクノロジーに基づいた完全なSIEMソリューションです。さらに、以下のようなUEBA機能を提供します：

• ルールやシグネチャを使用しないインシデント検知 -Exabeamは、高度な分析機能を使用して、事前に定義された相関ルールや脅威パターンを使用せずに、異常で危険なアクティビティを識別します。高度な設定や微調整を必要とせず、誤検知を減らしながら、意味のあるアラートを提供します。
• セキュリティ・インシデントの自動タイムライン -Exabeamは、複数のユーザー、IPアドレス、ITシステムにまたがるセキュリティ・インシデントを示すタイムラインに、関連するセキュリティ・イベントをつなぎ合わせることができます。
• 動的なピアグループ化 -Exabeamは、個々のエンティティの行動ベースライニングを実行するだけでなく、類似したエンティティ（同じ部署のユーザーや同じクラスのIoTデバイスなど）を動的にグループ化し、グループ全体の正常な集団行動を分析し、危険な行動を示す個人を検出します。
• 横方向の移動検知 -Exabeamは、機密データや重要な資産を求めて、異なるIPアドレス、認証情報、マシンを使用してネットワーク内を移動する攻撃者を検知します。複数のソースからのデータを結びつけ、点と点を結びつけ、攻撃者がネットワーク内を移動する過程を表示します。