ユーザー動作分析コンテンツ パック

概要

ユーザー動作分析 (UBA) を行うと、データに潜む脅威を識別、セキュリティ オペレーションの精度を高めることができます。また、調査時間も短縮できます。McAfee Enterprise Security Manager は、特定のユーザーやエンティティに限定されることなく、異常検出、カスタム ルール、他のインテリジェンス、高度な相関モデルを利用して分析を行います。この分析では、ベースラインを設定して正常な状態を定義し、監視を続けながら外れ値の要因を調査します。ユーザーのアクティビティもセキュリティのリスク要因分析に使用されます。これにより、インシデントを効率よく発見し、優先度を判断することができます。

コンテンツ パックのコンポーネント

アラーム
  • UBA - 新しいユーザー ログオンの検出
レポート
  • UBA - ソース ユーザー (1 週間)
ビュー
  • ソース ユーザー リスク
  • 不審な地域イベント
  • ユーザー動作イベント
ウォッチリスト
  • ドメイン ポリシー - セキュリティ グループ
  • UBA - パスワードが不要なアカウント
  • UBA - アカウントが期限切れのアカウント
  • UBA - コンピューター アカウント
  • UBA - デフォルト ユーザー名
  • UBA - 有効期限のないパスワード
  • UBA - 特権ユーザー
  • UBA - ルール
  • UBA - サーバー (FQDN)
  • UBA - サーバー (名前)
  • UBA - ユーザー アカウントの無効化
  • UBA - ユーザー アカウントのロックアウト
  • UBA - ユーザー ログオンの監視
相関分析ルール
  • ドメイン ポリシー - 変更されたドメイン ポリシー
  • ドメイン ポリシー - 削除されたグループ ポリシー オブジェクト
  • ドメイン ポリシー - 作成されたグループ ポリシー オブジェクト
  • ドメイン ポリシー - 変更されたグループ ポリシー オブジェクト
  • ドメイン ポリシー - 不審なドメイン権限変更
  • ドメイン ポリシー - 不審なローカル権限変更
  • ドメイン ポリシー - ドメイン セキュリティ グループに追加されたユーザー
  • ドメイン ポリシー - ローカル セキュリティ グループに追加されたユーザー
  • ドメイン ポリシー - ドメイン セキュリティ グループから削除されたユーザー
  • ドメイン ポリシー - ローカル セキュリティ グループから削除されたユーザー
  • GTI - 不審なホストからのログイン成功
  • GTI - 不審なホストへのログイン成功
  • UBA - デフォルト ユーザー名のログオン
  • UBA - 認証イベントの増加 (7 日間)
  • UBA - ロックされたアカウント/無効なアカウントからのログイン試行
  • UBA - パスワードが期限切れのユーザーによるログイン試行
  • UBA - パスワードが不要なアカウントからのログイン
  • UBA - 無期限パスワードのユーザーによるログイン
  • UBA - 新しいユーザーの監視
  • UBA - サーバーへのリモート ログイン
  • UBA - 不審な特権ログオン
  • UBA - ドル記号で終わるユーザー名
  • UBA - 複数の場所からのユーザー ログオン
  • UBA - 複数のホストからのユーザー ログオン
  • UBA - 複数の IP アドレスからのユーザー ログオン
  • Windows 認証 - Vista から 2008 以降での会社以外の場所からの管理者ログオン
  • Windows 認証 - 2000 から 2003 XP での会社以外の場所からの管理者ログオン
  • Windows 認証 - Vista から 2008 以降での不審な場所からの管理者ログオン
  • Windows 認証 - 2000 から 2003 XP での不審な場所からの管理者ログオン
  • Windows 認証 - 無効なパスワードによるドメイン ユーザーのログオン失敗
  • Windows 認証 - 複数回失敗した後のドメイン ユーザーのログオン
  • Windows 認証 - 制限付きホストでのドメイン ログオンの失敗
  • Windows 認証 - 制限付きドメイン アカウントのログオン失敗

必要な製品

  • McAfee Advanced Correlation Engine (ACE) 10.0.x
  • McAfee Enterprise Security Manager (ESM) 10.0.x
  • 一部のルールでは、McAfee Global Threat Intelligence (GTI) が必要になります。
  • ルールによっては、ネットワーク環境内の Windows デバイスからイベントを受信できるように、Windows データ ソースを設定する必要があります。

コンテンツ パックのダウンロード

ServicePortal にご登録の方は、ナレッジセンターにログインすると、詳しいドキュメントを入手できます。また、コンテンツ パック ファイルをダウンロードできます。

記事を読む

検索

他のコンテンツ パックやパートナー統合を検索できます。

すべて表示

無料トライアル

McAfee Enterprise Security Manager をお試しください。

無料トライアルの登録