UEBAはデータの分析を行い、異常行動を検知することができるシステムです。例えば外部からのアクセスによる偵察の動きや、本来は行われるべきではない不正な権限昇格などをすばやく検知しアラートを送ることができるようになっています。偵察や不正な権限昇格、許可を得ていないサーバーへのアクセスなどインシデントごとに重要度を付けて対策ができるのもポイントでしょう。UEBAによるこれらの検知は悪意を持つ外部の第三者だけではなく内部不正にも対応しており、アクセスの種類を問わずに行うことができます。

口に脅威といっても様々なレベルが存在しており、一見すると不正なアクセスのように見えてもユーザーがいつもと少し違う行動しただけということも十分にありえます。一方でシステム全体を混乱に陥れるような脅威も確実に存在しているため、重大な事案に発生する前の対応が必須です。UEBAが収集や分析を行っているデータは大きく2種類に分かれ、一つはセキュリティ製品のログの収集です。これは既存のセキュリティ製品のログから情報を得て分析を行い、異常行動の検知に利用されています。

2つ目はパケットキャプチャーによる分析でNTAとしてまとめられることもあります。いずれの場合もUEBAはユーザーの行動を分析して異常を検知するシステムという面に変わりはなく、重大なインシデントの対策として活用されています。多くのユーザーがアクセスする企業のネットワークなどで利用できるでしょう。