■ユーザーリスクダッシュボード画面について
ユーザーリスクダッシュボード画面の構成をご紹介します。
■アラートについて(アラートルールとアクション)
アラートとはユーザーがセキュリティ面でリスクのある特定の操作を行ったときに、それを自動的に検知して管理者や監査者が確認できるようにする仕組みのことです。検知する操作を定義したものをアラートルールと呼び、ObserveITにはこれまでのナレッジに基づいた300以上のアラートルールが事前登録されています。独自のセキュリティポリシーに基づいて新たにアラートルールを追加することも可能です。
アラートルールには検知した時のユーザーへのアクションを設定することができます。
アクションの例(ユーザーへの強制力のレベルが異なります)として
・警告の通知:警告メッセージが一定時間表示され消える(強制力のレベルが一番低いアクション)
・ブロック :警告メッセージが表示され、かつそれを閉じるまでユーザーは他の操作ができない
などがあります。
事前登録されたアラートルールではほとんどがアクションの設定が「なし」となっているため、ユーザー側ではアラート検知されたことを認識しませんが、セキュリティポリシー上、ユーザーに注意喚起したいものや、明らかにポリシー違反行為であるものについて、アクションを設定することができます。
・ブロック :警告メッセージが表示され、かつそれを閉じるまでユーザーは他の操作ができない
などがあります。
事前登録されたアラートルールではほとんどがアクションの設定が「なし」となっているため、ユーザー側ではアラート検知されたことを認識しませんが、セキュリティポリシー上、ユーザーに注意喚起したいものや、明らかにポリシー違反行為であるものについて、アクションを設定することができます。
■ユーザー動作の変化のグラフ(画面構成②)について
ユーザーリスクダッシュボード画面構成②の[ユーザー動作の変化]のグラフの見方をご紹介します。
グラフ表示からは以下の4つのデータの推移が確認できます。
さらにマウスカーソルをグラフの線上に乗せる(マウスオーバーする)とツールチップが現れ、日付とその日の4つのデータの値が確認できます。
分かりづらいですが、ツールチップ上の「通知」は「アクションあり」のアラートを意味しています。
■グラフによる分析と調査
「線グラフの傾向からは週の中盤はアラートが多くなる傾向がある」→そうですね。
それ以外に面グラフと線グラフの相関関係から何か気付きませんか?
「2/6は線グラフでは山のピークになっているのに、面グラフが谷の底になっている」→正解です。
よくデータをみると2/6は1人のユーザーが集中して大量の「アクションあり」のアラートを発生させているのです。
かなり悪質なユーザーですね(笑)
またアクションあり・なし合計で見ても他の日に比較して少ない3人のユーザーが集中してアラートを発生させています。
調査しましょう。
ダッシュボード画面からアラート画面に移動し、以下のフィルタで条件を指定し絞り込み表示をします。
期間:2/6から2/6
アクション:「アクションなし」以外の全て
katoさんが2/6の「アクションあり」の全アラート14件を発生させていました。
ポートスキャンツールやパケットキャプチャのツールをやたら動かしてます。
また正規登録されていないUSBデバイスへのデータコピーも行っています。
あくまで不正行為や情報漏えいの潜在的リスクがあるユーザーとして分かっただけですので、本当に行っていたのかどうかは各アラートのビデオ▶ボタンで検知した瞬間の操作を再生することで確認できます。
フィルタの条件でアクションを「すべて」に変更すれば、他の2名のユーザーが発生させた「アクションなし」のアラートも合わせて確認できます。
■まとめ
ユーザー操作画面の記録データを保管しておくことで、情報漏えい等のセキュリティインシデント発生時での追跡調査が可能となりますが、それは事後での対処法にすぎません。単にデータを保管するだけでなく統計情報として可視化・分析し、異常値があれば実際のユーザー操作まで掘り下げてみることが、予防策として重要になってきます。
いざセキュリティインシデントが発生してからでは遅いのです。
