User and Entity Behavior Analytics

User and Entity Behavior Analytics（UEBA）または、User behavior analytics（UBA）またはユーザーおよびエンティティ行動分析は、特定の目的のためにユーザー、主体（subject）、訪問者などの行動を分析するという概念である^[1]^[2]。これは、サイバーセキュリティツールが、人間の行動パターンを観察することで、各個人の「正常な活動」のプロファイルを構築し、その後、潜在的な侵害を示す可能性のあるそのプロファイルからの逸脱（または異常）を強調表示できるようにする^[2]^[3]^[4]^[5]。

UEBAとUBAとの区別

Nemertes ResearchのJohna Till Johnsonによると、UBAを使用する理由は「セキュリティシステムが提供する情報があまりにも多すぎるため、真の攻撃の可能性を本当に示す情報を発見するのが難しいこと」にある^[6]。分析ツールは、SIEM、IDS/IPS、システムログ、およびその他のツールが収集する膨大な量のデータの意味を理解するのに役立つ。UBAツールは、システムとそれを使用する人々の行動に焦点を当てた特殊なタイプのセキュリティ分析を使用する。UBA技術は、元々、企業が消費者購買パターンを理解し予測するのに役立つように、マーケティングの分野で発展した。しかし、UBAはセキュリティの文脈でも非常に有用であることが判明している^[6]。

UEBAにおける「E」は、分析をエンティティの活動に拡張するものであり、その活動は必ずしもユーザー固有の行動に直接結びついているわけではないが、それでも脆弱性、偵察、侵入、またはエクスプロイトの発生と相関する可能性がある^[1]。

「UEBA」という用語は、ガートナーによって2015年に造られた。UEBAは、デバイス、アプリケーション、サーバー、およびデータの活動を追跡する。UEBAシステムは、UBAシステムよりも多くのデータを生成し、より複雑なレポート作成オプションを提供する^[2]。

EDRとの違い

UEBAツールは、EDR（endpoint detection and response）の機能とは異なる。それは、UEBAがユーザー行動に分析の焦点を当てているのに対し、EDRがエンドポイント端末に分析の焦点を当てているためである^[3]。EDRやXDRのようなサイバーセキュリティソリューションは、通常、インシデントが発生した後の外部の脅威の検出と対応を優先する。UEBAとIRMソリューションは、従業員の行動を分析することで、内部の潜在的なリスクを防止することを目指している。

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力確認 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPヘッダ・インジェクション (CWE-113) HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) フィッシング (詐欺) (CAPEC-98) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング（英語版） Kerberoasting（英語版）クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） Eメールスプーフィング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) [[]] (CWE-121) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 暗号アルゴリズムの脆弱性 (CWE-327) [POODLE]](CWE-757) KRACK(CWE-757) 誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) メールボムクリアチャネル評価攻撃（英語版）
対策・防御技術	ファイアウォール Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） User and Entity Behavior Analytics（UEBA） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud Access Security Broker (CASB) 多要素認証 (MFA) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Outbound Port 25 Blocking（OP25B） Wi-Fi Protected Access セキュリティ・バイ・デザイン (SBD) ソフトウェア・サプライチェーンゼロトラスト・セキュリティモデルコンテントスニッフィング（英語版）
関連項目・ツール	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit OWASP Sshnuke 脆弱性情報データベース (CVE/JVN) 脆弱性報奨金制度 Nikto Web Scanner（英語版） w3af（英語版）隠れ通信路（英語版）

User and Entity Behavior Analytics

UEBAとUBAとの区別

EDRとの違い

関連項目

脚注

外部リンク

Related Articles

Related Articles

What is User (and Entity) Behavior Analytics (UBA or UEBA)?

The hunt for data analytics: Is your SIEM on the endangered list?

User behavioral analytics tools can thwart security attacks