UEBAパイプラインの設計：ベースライン、異常検知、リスクスコアリング

価値を提供するUEBAパイプラインの構築には、あらゆる段階での慎重な設計が伴います。収集するデータ、構築するベースライン、選択する異常検知手法、そして生のシグナルをリスクスコアに変換する方法のすべてが、アナリストがその出力を信頼するか、無視することを学ぶかのどちらかに影響します。このコースでは、通常発生する順序でこれらの決定事項を解説します。 実際の組織のためにUEBAパイプラインを計画するセキュリティデータチームの方法を模倣した、記述式の設計演習に取り組みます。システムがアナリストを圧倒することなく検出を改善するかどうかを決定する、実践的なトレードオフに重点が置かれています。 学習内容： - クラウドおよびオンプレミスのシステム全体での認証、アクセス、アクティビティログからのデータ収集を計画する - 個々の役割、ピアグループ、および時間パターンを考慮したベースラインモデリングアプローチを設計する - 統計、クラスタリング、および最新のディープラーニングアプローチを含む異常検知手法を比較する - 複数のシグナルをアクション可能なアラートに組み合わせるリスクスコアリングシステムを構築する - 現実的な内部脅威および侵害シナリオに対してパイプラインをテストする評価ルーチンを計画する - アナリストの決定がベースラインとスコアリングを時間とともに改善できるようにするフィードバックループを設計する コースは、データ収集からベースラインモデリング、異常検知、リスクスコアリング、評価へと進みます。最終的な記述式演習では、特定の組織タイプと脅威プロファイルを対象としたUEBAパイプラインの1ページ設計を作成するよう求められます。 このコースは、セキュリティアナリスト、セキュリティ業務に参入するデータエンジニア、およびコンピュータサイエンスの学生を対象としています。UEBAに関する深い経験は必要ありません。コースでは、ツールに関する決定がなされる前に、紙の上で推論できる設計問題としてパイプラインを扱います。