メール
1.2.4 ユーザー脅威指数 (UTQ)
ユーザー脅威指数 (UTQ) レポートは、組織のネットワーク上でセキュリティ脅威を引き起 こすリスクのあるユーザーの可視性を管理者に即座に提供します。これにより、管理者は対 処可能なセキュリティインテリジェンスを活用できます。
注: UTQ レポートを表示するには、Web プロテクションまたはネットワークプロテクショ ンのいずれかに登録する必要があります。
様々なログやレポートデータを関連付けて、リスクのあるユーザーを識別するのは時間がか かり、管理者の分析スキルが必要になります。また、人為的ミスが起きる可能性もありま す。UTQ はユーザーのインターネット挙動の自動分析を提供するため、管理者が相関デー タを確認する時間や労力を削減することができます。
Sophos Firewall は、次の 2 つの条件に基づいて UTQ スコアを算出します。
1. Web 閲覧動作 (「許可」のみですが、各ユーザーに応じて「リスクの可能性あり」およ び「拒否したWeb トラフィック」も該当します)
2. Advanced Threat Protection (ATP) ログ (感染したクライアント/ホストまたはボットネッ トに含まれるクライアント)
UTQ は管理者に次のメリットを提供します。
■ リスクのあるユーザーを一目で特定します。
■ ネットワーク内で感染しているまたはボットネットに含まれるクライアント/ホストを識 別します。
■ 悪意のある内部関係者を検出します。
■ 様々なログやレポートデータの関連付けにおいて、人為的ミスの可能性がなくなります。
■ セキュリティポリシーの調整やセキュリティの認識トレーニングなど、適切な対応を講 じることができます。
次は、UTQ で使用される用語とアイコンについての説明です。
■ 相対脅威スコア – ユーザーが引き起こした脅威の最大 (数値)。選択した日付や期間に含 まれる他のユーザー全員のWeb 挙動に関係しています。
■ 相対リスクのランキング – ユーザーのランク (数値)。これは、組織のネットワーク上で セキュリティリスクを引き起こすリスクのあるユーザーを示し、選択した日付や期間に 含まれる他のユーザー全員のWeb 挙動に関係しています。
■
– UTQ リスクメーターは選択したユーザーの平均脅威スコア
を表示し、選択した日付や期間に含まれる他のユーザー全員の脅威スコアに関係してい ます。
UTQ レポートは、バブルグラフを使用して表形式で表示されます。バブルグラフは相対リ スクのランキングと相対脅威スコア間でプロットされます。バブルはユーザーを示し、バブ ルのサイズはユーザーが引き起こした相対脅威を示しています。バブル上にカーソルを合わ せると、ユーザーのユーザー名、相対脅威スコア、相対リスクランキングのような詳細が表 示されます。
図 65: ユーザー脅威指数 (UTQ)
バブルグラフの領域は、次の 3 つのセクションに分けられています。
■ 上位 10% は高リスクのユーザーとマークされます
■ 次の 40% は中リスクのユーザーとマークされます
■ 最後の 50% は低リスクのユーザーとマークされます
注: 選択した期間に含まれるユーザー数が 20 人以下の場合、すべてのユーザーは青いバブ ルで表示され、上記で説明したセクションは表示されません。
表形式のレポートには次の情報が含まれます。
■ ユーザー:デバイス内で定義されているユーザーのユーザー名ユーザーが定義されていな い場合は「不明」と表示され、未承認のユーザーによりトラフィックが生成されたこと を意味します。
■ 相対脅威スコア:ユーザーが引き起こした脅威 (数値) は、選択した期間における他のユー ザー全員のWeb 挙動に関係しています。
UTQ が算出および表示されるのは、24 時間後であることにご留意ください。したがって、
当日の UTQ を確認することはできません。次の UTQ を表示できます。
■ 過去 14日
■ 過去 7日
■ 過去 1 日
デフォルトにより、UTQ は過去 7 日間のリスクのあるユーザー 100 人まで表示します。ま た、相対脅威スコアおよび相対リスクランキングも表示されます。
画面右上にUTQ リスクメーターが表示されます。これは、選択したユーザーの相対脅威ス コアを示しています。
テーブルまたはグラフのバブル内の「ユーザー」ハイパーリンクをクリックして、選択した 期間のユーザー別/日付別レポート (p. 80) を表示します。
1.2.4.1 ユーザー別 / 日付別レポート
特定のユーザーおよび日付の次のレポートを表示するには、「監視 & 分析」 > 「レポー ト」 > 「ダッシュボード」 > 「ユーザー脅威指数 (UTQ)」 > 「ユーザー」の順にアクセス します。
■ 高度な脅威 (p. 80)
■ 詳細ビュー - ATP (p. 81)
■ クライアントの詳細 - ATP (p. 81)
■ 高リスクのWeb カテゴリ (p. 82)
■ 高リスクのWeb ドメイン (p. 82)
■ ブロックした高リスクのWeb カテゴリ (p. 83)
■ ブロックした高リスクのWeb ドメイン (p. 83)
1.2.4.1.1 「高度な脅威」ウィジェット
このウィジェットのレポートには、ご利用のネットワーク内に含まれる高度な脅威の包括的 なサマリーが表示されます。
レポートを表示するには、「監視 & 分析」 > 「レポート」 > 「ダッシュボード」 > 「ユー ザー脅威指数 (UTQ)」 > 「ユーザー」の順にアクセスします。
このレポートは、グラフを使用して表形式で表示されます。
デフォルトにより、レポートは最新の日付で表示されます。ページ上部にある「カレンダー」
ボタンをクリックして、データを選択します。
棒グラフには、脅威のリスト、脅威ごとの試行回数の合計が表示されます。また、表形式の レポートには次の情報も含まれています。
■ 脅威:脅威の名前
■ ホスト数:脅威に感染したホスト数
■ 感染源:脅威の感染源使用可能なオプション:
■ ファイアウォール
■ IPS
■ DNS
■ Web
■ 上記の組み合わせ
■ 試行回数:脅威ごとの試行回数の合計この数字は「ログのみ」および「ログ&ドロップ」
の試行回数の合計です。
1.2.4.1.2 「詳細ビュー - ATP」ウィジェット
このウィジェットのレポートには、ご利用のネットワーク内に含まれる高度な脅威の詳細な サマリーが表示されます。
レポートを表示するには、「監視 & 分析」 > 「レポート」 > 「ダッシュボード」 > 「ユー ザー脅威指数 (UTQ)」 > 「ユーザー」の順にアクセスします。
このレポートは、グラフを使用して表形式で表示されます。
デフォルトにより、レポートは最新の日付で表示されます。ページ上部にある「カレンダー」
ボタンをクリックして、データを選択します。
表形式のレポートには次の情報が含まれます。
■ 日付:日付 (YYYY-MM-DD 形式)
■ ホスト (送信元 IP):送信元ホストの IP アドレス
■ 脅威:脅威の名前
■ 宛先:感染先の IP アドレス
■ 感染源:脅威の感染源使用可能なオプション:
■ ファイアウォール
■ IPS
■ DNS
■ Web
■ 上記の組み合わせ
■ 試行回数:試行回数の合計この数字は「ログのみ」および「ログ&ドロップ」の試行回数 の合計です。
■ 処理:脅威を検出したデバイスが実行した処理使用可能なオプション:
■ ログ&ドロップ:データパケットがログおよびドロップされます。
■ ログのみ:データパケットはログされます。
1.2.4.1.3 「セキュリティハートビート - ATP」ウィジェット
このウィジェットのレポートは、ご利用のネットワークに含まれるエンドポイントに関係す る高度な脅威の詳細を提供します。
レポートを表示するには、「監視 & 分析」 > 「レポート」 > 「ダッシュボード」 > 「ユー ザー脅威指数 (UTQ)」 > 「ユーザー」の順にアクセスします。
このレポートは表形式で表示されます。表形式のレポートには次の情報が含まれます。
■ ホスト (送信元 IP):送信元ホストの IP アドレス
■ ログインユーザー:感染したユーザーのユーザー名
■ プロセスユーザー:プロセスを所有するユーザーのユーザー名
■ 実行ファイル:感染した実行ファイル名
■ 脅威:脅威の名前
■ 宛先:感染先の IP アドレス
■ 前回のイベント発生日時:感染した実行ファイルがホスト内で最終検出された時刻
■ 試行回数:試行回数の合計この数字は「ログのみ」および「ログ&ドロップ」の試行回数 の合計です。
1.2.4.1.4 「高リスクの Web カテゴリ」ウィジェット
このウィジェットのレポートには、許可されている上位のWeb カテゴリのリスト、Web カ テゴリごとのヒット数が表示されます。
レポートを表示するには、「監視 & 分析」 > 「レポート」 > 「ダッシュボード」 > 「ユー ザー脅威指数 (UTQ)」 > 「ユーザー」の順にアクセスします。
このレポートは、グラフを使用して表形式で表示されます。
棒グラフには、Web カテゴリごとのヒット数が表示されます。また、表形式のレポートに は次の情報も含まれています。
■ カテゴリ:デバイス内で定義されているWeb カテゴリ名
■ ヒット数: Web カテゴリのヒット数
「カテゴリ」ハイパーリンクまたはグラフをクリックして、選択したユーザー、日付/期間、
Web カテゴリの高リスクのWeb ドメイン (p. 83) のリストを表示します。
1.2.4.1.5 「高リスクの Web ドメイン」ウィジェット
このウィジェットのレポートには、許可されている上位のWeb ドメインのリスト、Web ド メインごとのヒット数が表示されます。
レポートを表示するには、「監視 & 分析」 > 「レポート」 > 「ダッシュボード」 > 「ユー ザー脅威指数 (UTQ)」 > 「ユーザー」の順にアクセスします。
このレポートは、グラフを使用して表形式で表示されます。
棒グラフには、Web ドメインごとのヒット数が表示されます。また、表形式のレポートに は次の情報も含まれています。
■ ドメイン:ドメインの名前/IP アドレス
■ カテゴリ:ドメインのWeb カテゴリ名
■ ヒット数:ドメインのヒット数
アイコンをクリックすると、選択したユーザーがこのドメインでアクセスしたURL の リスト (p. 84) が表示されます。
アイコンをクリックすると、このドメインにアクセスしたユーザーのリスト (p. 84) が 表示されます。