安全確保支援士の午前問題で出題された答えられなかったため、勉強しました。
かなり短いです。
UEBAの概要
User and Entity Behavior Analytics の略名です。
ユーザとエンティティ(端末/サーバ/アプリ)の行動をベースライン化して、そこからの逸脱(異常)を文脈と合わせて検知して、調査優先度(リスク)に落とす考え方です。
ベースライン化というのは、エンティティの振る舞いを統計、モデルとして持つということです。静的な閾値(ログイン失敗回数など)ではなくて、時間変動(曜日・時間帯・季節性) を含めて、普段を作るという意味になります。
UEBAに関する補足
UEBAは製品ジャンルではなく、SIEM/XDR/SecOpsプラットフォームのようなものに組み込まれる機能です。
製品でいうと、Microsoft Sentinel/Splunk/QRadarなどにあるようです。