UEBA（ユーザーとエンティティの行動分析）：2025年完全ガイド

ユーザーとエンティティの行動分析（UEBA）とは？

UEBAとは、User and Entity Behavior Analyticsの略で、機械学習と行動分析を用いてネットワーク内の異常な活動を検知するサイバーセキュリティのアプローチである。ユーザーと、サーバー、アプリケーション、ネットワーク・デバイスなどのユーザー以外のエンティティの行動を分析することで、従来のセキュリティ手法を超え、他のセキュリティ・ツールでは見逃される可能性のある潜在的な脅威を特定します。

UEBAツールは、伝統的な機械学習とディープラーニングに基づく革新的なアルゴリズムを使用し、企業ネットワーク上のユーザー、マシン、その他のエンティティによる異常で危険な行動を発見する。セキュリティインシデント・イベント管理（SIEM）解決策だ。

UEBAソリューションの主な特徴は以下の通り：

• ユーザーとエンティティの行動を監視：UEBAソリューションは、ユーザーの行動とさまざまなネットワーク・エンティティ（サーバー、アプリケーションなど）の活動を追跡し、正常な行動のベースラインを確立します。
• 異常の検出：現在のアクティビティと確立されたベースラインを比較することで、UEBAは悪意のあるアクティビティやセキュリティ侵害を示す可能性のある通常のパターンからの逸脱を特定することができます。
• 内部脅威の検知：UEBAは、正規ユーザーによる異常なアクセスパターンやデータ転送を検知できるため、内部脅威の検知に特に効果的です。
• プロアクティブなセキュリティの実現：UEBAは、潜在的な脅威が重大なインシデントに発展する前に、その脅威に対する洞察を提供することで、企業がリアクティブなセキュリティ対策から脱却することを支援します。
• 他のセキュリティ・システムとの統合：UEBAソリューションは、既存のセキュリティ情報・イベント管理（SIEM）システムと統合することができ、全体的な脅威検知・対応能力を強化することができます。

UEBAの主な利点は以下の通り：

• 脅威検知の向上：UEBAは、インサイダー脅威、アカウント侵害、高度な持続的脅威（APT）など、従来のセキュリティ・ツールが見逃していた脅威を特定することができます。
• 誤検知の削減：行動パターンを分析することで、UEBAは従来のセキュリティ・システムで発生する誤検知の数を減らすことができます。
• インシデント対応の迅速化：UEBAはセキュリティ・チームに貴重なコンテキストを提供し、より迅速かつ効果的にインシデントに対応できるようにします。
• セキュリティ態勢の強化：UEBAは、潜在的な脅威をプロアクティブに特定し対処することで、企業の全体的なセキュリティ態勢の強化を支援します。

---

UEBAの3つの柱

ガートナーは、UEBAソリューションを3つの側面から定義している：

• 使用例-UEBAソリューションは、企業ネットワーク内のユーザーやその他のエンティティの行動に関する情報を提供する。UEBAソリューションは、モニタリング、異常の検知、アラートを実行しなければならない。また、従業員監視、トラステッド・ホスト監視、不正行為などに特化したツールとは異なり、複数のユースケースに適用できるものでなければならない。
• データソース -UEBAソリューションは、データレイクやデータウェアハウスなどの一般的なデータリポジトリから、あるいはSIEMを通じてデータを取り込むことができる。データを収集するためにIT環境に直接エージェントを配置するべきではありません。
• 分析-UEBAソリューションは、統計モデル、機械学習、ルール、脅威シグネチャなど、さまざまな分析アプローチを使用して異常を検出します。

---

UEBAの仕組み

ユーザーとエンティティの行動分析（UEBA）は、ユーザーとエンティティの行動を分析し、高度な分析と行動モデリングを適用して異常な行動を判断するサイバーセキュリティ・ソリューションまたは機能のカテゴリです。UEBAは、悪意のある内部関係者や特権アカウントの侵害など、従来のルールベースのセキュリティ・ツールでは発見できなかった高度なセキュリティ脅威を発見するために使用されます。UEBAソリューションは、多くのソースから運用データを取り込み、あらゆるユーザーや人間以外のエンティティの正常な挙動を判断します。エンティティには、ホスト、アプリケーション、ネットワーク・トラフィック、サービス・アカウント、データ・リポジトリなどのIT資産が含まれます。時間の経過とともに、このソリューションはピアグループ全体のユーザーとエンティティの行動の標準プロファイルを構築し、組織における正常な行動のベースラインを作成します。異常な行動が特定されると、リスク・スコアが割り当てられる。スコアは、あらかじめ定義されたしきい値を超えてセキュリティ・アナリストに警告が発せられるまで、異常な行動が増えるにつれて上昇する。ソリューションによっては、対応アクションを自動化できるものもある。

複数のデータソースにまたがる全体的な分析

UEBAソリューションの真の威力は、組織の境界、ITシステム、データソースを横断し、特定のユーザーやエンティティについて利用可能なすべてのデータを分析する能力にある。

UEBAソリューションは、できるだけ多くのデータソースを分析すべきである：

• のような認証システム。アクティブディレクトリ
• VPNやプロキシなどのアクセスシステム
• 構成管理データベース
• 人事データ-新入社員、退社した社員、およびユーザーに関する追加情報を提供するあらゆるデータ
• ファイアウォール、侵入検知防御システム（IDPS）
• マルウェア対策およびウイルス対策システム
• エンドポイント検出および応答システム
• ネットワーク・トラフィック分析
• 脅威インテリジェンスフィード

例えば、UEBAソリューションは、アクティブディレクトリ、ログオンされたデバイスの重要性、アクセスされたファイルの機密性、侵害を可能にした可能性のある最近の異常なネットワークやマルウェアの動きと照合して、異常なログインを特定できるはずである。

行動ベースラインとリスクスコア

UEBAソリューションは、正常な行動を学習して異常な行動を特定する。UEBAソリューションは、ユーザーのベースラインまたは行動プロファイルを決定するために、広範なデータのセットを調べます。

例えば、システムはユーザーを監視し、彼らがどのようにVPNを使用しているか、何時に出社し、どのシステムにログインしているか、どのプリンターを使用しているか、どのくらいの頻度でどのくらいのサイズのファイルを電子メールで送信したり、USBドライブに読み込んだりしているか、その他ユーザーの「通常の行動」を定義する多くのデータポイントを確認する。サーバー、データベース、その他重要なITシステムについても同様である。

ベースラインからの乖離があると、システムはそのユーザーやマシンのリスクスコアを加算する。挙動が異常であればあるほど、リスク・スコアは高くなる。より多くの不審な行動が蓄積されるにつれ、リスク・スコアは閾値に達するまで増加し、調査のためにアナリストにエスカレーションされる。

この分析アプローチにはいくつかの利点がある：

• 集約 - リスク・スコアは多数のイベントから構成されるため、アナリストが大量の個々のアラートを手作業で確認し、脅威を検出するためにそれらを精神的に組み合わせる必要はない。
• 誤検知の低減 1つのわずかな異常事象が発生しただけでは、セキュリティ・アラートは発せられない。このシステムでは、アラートを生成するために複数の異常動作の兆候が必要であるため、偽陽性の数が減少し、アナリストの時間が節約される。

より多くのコンテキスト-セキュリティ管理者によって定義された従来の相関ルールは、ある一連のユーザーやシステムに対しては正しくても、他のユーザーやシステムに対しては正しくなかったかもしれない。例えば、ある部署がシフト・ワーカーやオフショア・ワーカーを雇用し始めた場合、彼らは通常とは異なる時間にログインするようになるため、ルール・ベースのアラートが常に発動することになる。UEBAは、ユーザー・グループごとにコンテキストに応じたベースラインを確立するため、よりスマートだ。オフショア・ワーカーが現地時間の午前3時にログインしても、異常なイベントとはみなされない。

タイムライン分析とセッションのつなぎ目

セキュリティ・インシデントを分析する際、タイムラインは、一見無関係に見える活動を結びつけることができる重要な概念である。現代の攻撃は、孤立した事象ではなく、プロセスである。

例えば、ログインして不審な行動をとり、その後ログから消えたユーザーを考えてみよう。その後すぐに、同じIPが他の組織のシステムへの接続に使われたのでしょうか？もしそうなら、これは同じインシデントの一部である可能性があり、同じユーザーがシステムに侵入する試みを続けていることになります。さらに、攻撃者が異なる認証情報を使って同じマシンに何度もログインしている例も考えられます。この場合も、さまざまなログイン試行に関するデータを「つなぎ合わせて」、1つのインシデントとしてフラグを立てる必要があります。

---

UEBAとSIEMの融合

UEBAとSIEM技術の間には密接な関係がある。なぜなら、UEBAは分析を実行するために組織横断的なセキュリティ・データに依存しており、このデータは通常SIEMによって収集・保存されているからである。

ガートナーはUEBAをSIEMに組み込まれた機能として捉えている。振る舞い分析は、ガートナーがセキュリティ情報およびイベント管理のマジック・クアドラントでベンダーを評価する機能の1つです。ガートナーは、SIEMの機能として次のようなものを挙げている：

• セキュリティ・デバイス、ネットワーク・インフラ、システム、アプリケーションから生成されるイベント・データを集約する
• スコアリング、優先順位付け、調査の迅速化を目的として、イベントデータをユーザー、資産、脅威、脆弱性に関するコンテキスト情報と組み合わせる。
• より効率的に分析するためにデータを正規化する
• セキュリティ監視のためのイベントのリアルタイム分析、ユーザーとエンティティの行動の高度な分析、分析のクエリ、インシデントの調査と管理のサポート、およびレポーティングを提供します。

---

UEBAの使用例

インサイダーの脅威

内部脅威には3つのタイプがある：

1. 過失のある内部者-過失のある内部者とは、ITシステムに特権的にアクセスできる従業員や請負業者のことで、適切なIT手続きに従わないために、意図せずに組織を危険にさらしてしまう。例えば、ログアウトせずにコンピュータから離れる人、デフォルト・パスワードを変更しなかった管理者、セキュリティ・パッチを適用しなかった管理者などです。ユーザーの正常な行動と異常な行動を識別することは、過失によって危険にさらされたユーザーを検出するための鍵となります。
2. 悪意のある内部関係者 -悪意のある内部関係者とは、ITシステムに特権的にアクセスできる従業員や請負業者のことで、組織に対するサイバー攻撃を意図している。ログファイルや通常のセキュリティイベントから悪意のある意図を測定したり発見したりすることは困難です。UEBAソリューションは、ユーザーの典型的な行動のベースラインを確立し、異常な行動を検出することで役立ちます。
3. 侵害された内部関係者-攻撃者が組織に侵入し、ネットワーク上の特権ユーザーアカウントや信頼できるホストを侵害し、そこから攻撃を継続することはよくあることです。UEBAソリューションは、攻撃者が侵害されたアカウントを介して実行する悪意のあるアクティビティを迅速に検出・分析するのに役立ちます。

従来のセキュリティ・ツールでは、攻撃パターンやキル・チェーンが現時点で判明していない場合（ゼロデイ攻撃など）、あるいは認証情報、IPアドレス、マシンを変更することで組織内を横方向に移動する攻撃の場合、侵害された内部関係者を検知することは困難でした。しかし、UEBAテクノロジーはこのようなタイプの攻撃を検知することができます。なぜなら、攻撃はほとんどの場合、資産に確立されたベースラインとは異なる振る舞いをさせるからです。

インシデントの優先順位付け

SIEMは、複数のセキュリティ・ツールや重要なシステムからイベントやログを収集し、セキュリティ・スタッフが調査しなければならない大量のアラートを生成します。これは、セキュリティ・オペレーション・センター（SOC）の一般的な課題であるアラート疲労につながります。

UEBAソリューションは、どのインシデントが組織の状況において特に異常であるか、疑わしいか、潜在的に危険であるかを理解するのに役立ちます。UEBAは、ベースラインや脅威モデルを超えて、組織構造に関するデータ、例えば資産の重要度や特定の組織機能の役割とアクセス・レベルに関するデータを追加することができます。重要な保護対象システムやトップレベルの管理者であれば、標準からのわずかな逸脱であっても、調査官にとっては一見の価値があるかもしれない。

データ損失防止（DLP）とデータ漏洩防止

データ損失防止（DLP）ツールは、データの流出、つまり組織の境界外への不正なデータ転送を防止するために使用されます。従来のDLPツールは、センシティブなデータに対して実行された異常なアクティビティをレポートします。

UEBAソリューションは、DLPアラート、どのイベントが既知のベースラインと比較して異常な挙動を示すかを理解することによって、優先順位を付け、統合することができます。これにより、調査員の時間を節約し、実際のセキュリティ・インシデントを迅速に発見することができます。

エンティティ分析（IoT）

UEBAは、モノのインターネット（IoT）セキュリティ・リスクに対処する上で特に重要である。企業は大規模なコネクテッド・デバイスを配備しているが、多くの場合、セキュリティ対策は最小限か全く施されていない。攻撃者はIoTデバイスを危険にさらし、それを使ってデータを盗んだり、他のITシステムにアクセスしたりすることができる。

IoTの2つの敏感なカテゴリーは、医療機器と製造装置である。接続された医療機器には重要なデータが含まれている可能性があり、患者の治療に直接使用されると生命を脅かす可能性がある。製造装置は、機能停止した場合、多額の金銭的損失をもたらす可能性があり、場合によっては従業員の安全を脅かすこともある。

UEBAは、接続されたデバイスを追跡し、各デバイスまたは類似したデバイスのグループごとに動作のベースラインを確立し、デバイスが通常の境界を外れて動作しているかどうかを即座に検出することができます。例えば

• 異常なアドレスやデバイスへの接続、または異常なアドレスやデバイスからの接続
• いつもと違う時間帯の活動
• 通常使用されていないデバイスの機能が有効になっている

---

UEBAと類似技術の比較

UEBA vs NTA

ネットワークトラフィック解析（NTA）は、ネットワーク通信を監視・分析し、異常や侵害の兆候を検出することに重点を置いている。UEBAとNTAはどちらも異常な挙動を特定するが、その範囲は異なる。

UEBAは、ネットワークアクティビティだけでなく、エンドポイント、アプリケーション、ディレクトリを含む多様なシステムにわたるユーザーとエンティティの行動を調査します。NTAはネットワーク・データに限定され、横の動きやデータ流出のような脅威の特定を得意とします。対照的に、UEBAは特権アクセスの不正使用、異常なログイン動作、ファイル・アクセス・パターンの変化を伴う脅威を検出することができます。NTAは通常、リアルタイムのトラフィック解析をサポートするのに対し、UEBAは長期的な挙動をモデリングするためにリアルタイムと履歴データの両方を使用します。

UEBAとNTAは互いに補完し合うことができる：NTAは不審なネットワーク経路を浮き彫りにし、UEBAは誰が、あるいは何が関与しているかについての行動コンテキストを提供する。

UBA vs UEBA

ユーザー行動分析(UBA)は、人間のユーザーのみに焦点を当てた旧世代のテクノロジーである。ユーザーの行動を分析し、クレデンシャルの誤用、内部脅威、不審なアクセスパターンなどのリスクを検出します。

UEBA（User and Entity Behavior Analytics：ユーザーとエンティティの行動分析）は、サーバー、アプリケーション、IoTデバイスのような人間以外のエンティティを含めることで、この概念を拡張している。多くの攻撃が人間のユーザーを超えたエンティティを標的としたり、そこから発生したりするため、このような広範なスコープは非常に重要です。また、UEBAには通常、ハイブリッド環境全体の複雑な行動異常を特定できる機械学習モデルなど、より高度な分析が組み込まれています。

つまり、UEBAはUBAを基盤として、IT環境内のすべてのエンティティやそれらの間の関係性をより包括的に把握できるようにしたものである。

---

UEBAの分析手法

UEBAソリューションの中には、疑わしい活動を特定するために従来の手法に依存しているものがある。これには、手動で定義したルール、セキュリティ・イベントと既知の攻撃パターンとの相関関係などがある。従来の手法の限界は、セキュリティ管理者が定義したルールと同程度の性能しかなく、新しいタイプの脅威やシステム動作に適応できないことです。

アドバンスド・アナリティクスには、既知のパターンがない場合でも異常な行動を特定するのに役立つ最新のテクノロジーがいくつか含まれている：

• 教師あり機械学習-既知の良い行動と既知の悪い行動のセットがシステムに供給される。ツールは新しい行動を分析し、それが既知の良い行動セットまたは既知の悪い行動セットに「似ている」かどうかを判断するように学習する。
• ベイジアンネットワーク-教師ありの機械学習とルールを組み合わせて、行動プロファイルを作成することができる。
• 教師なし学習-システムは正常な行動を学習し、異常な行動を検知して警告することができる。異常な行動が良いか悪いかはわからないが、正常な行動から逸脱していることだけはわかる。
• 強化/半教師あり機械学習-基本は教師なし学習であり、実際のアラート解像度をシステムにフィードバックしてモデルの微調整を可能にし、S/N比を下げるハイブリッドモデル。
• ディープラーニング-仮想的なアラートのトリアージと調査を可能にします。このシステムは、セキュリティ・アラートとそのトリアージ結果を表すデータ・セットで学習し、特徴の自己識別を行い、新しいセキュリティ・アラート・セットのトリアージ結果を予測することができる。

従来のアナリティクス手法は決定論的であり、特定の条件が真であればアラートが生成され、そうでなければシステムは「すべて問題なし」と仮定する。上記の高度な分析手法は、発見的であるという点で異なります。リスクスコアは、イベントが異常またはセキュリティインシデントを表す確率である。リスクスコアがある閾値を超えると、システムはセキュリティアラートを作成する。

---

UEBA導入の課題

データ統合スケーリング

UEBA導入における大きな課題の1つは、多様なデータソースの統合です。UEBAシステムは、ID管理システム、アプリケーション・ログ、ネットワーク・トラフィック、エンドポイント・テレメトリなどからの包括的で高品質なデータに依存している。これらのソースを統合することは、多くの場合、形式もボリュームも異なるため、複雑で時間のかかる作業となります。

スケーラビリティも問題だ。組織が成長し、デバイス、アプリケーション、ユーザーが増えるにつれて、データ量は指数関数的に増加します。UEBAソリューションは、パフォーマンスを維持しながら、このデータをほぼリアルタイムで処理しなければなりません。適切な計画を立てないと、パフォーマンスのボトルネックやレイテンシーの増大により、検知能力やアナリストのワークフローが低下する可能性があります。

偽陽性

高度なアナリティクスにもかかわらず、UEBAの導入では依然として誤検知が重大な懸念事項となっています。システムが良性の異常（例えば、新しい場所で作業している正当なユーザー）に対してあまりにも多くのアラートを生成する場合、セキュリティ・アナリストは圧倒されたり、鈍感になったりする可能性があります。

この問題は多くの場合、未熟なベースライニングや行動モデルにおける不十分なコンテキストに関連している。時間が経つにつれて、システムが学習し、リスクスコアリングを微調整するにつれて、誤検知は減少する。しかし、配備の初期段階やダイナミックな環境では、許容可能なアラート品質を維持することは難しい。

必要なスキルとリソース

UEBAプラットフォームは、設定、チューニング、メンテナンスに熟練した人材を必要とする。組織には、行動分析、脅威検知、インシデント対応に関する知識を持つアナリストが必要です。さらに、適切なデータの取り込みと正規化を確実に行うために、データ・エンジニアが必要になる場合もあります。

小規模な組織では、本格的なUEBAの導入をサポートするための専門知識や人員が不足している可能性がある。大企業であっても、UEBAを既存のセキュリティ・オペレーションに統合するには、モデルの正確性と有効性を維持するために多大な時間投資と継続的な努力が必要になる場合がある。

---

UEBA導入のための主なベストプラクティス

1.包括的で質の高いサービスを確保する。データ統合

UEBA システムは、行動を正確にモデル化するために、豊富で多様なデータに依存している。アイデンティティ・プロバイダ（アクティブディレクトリ、LDAPなど）、エンドポイント・ログ、クラウド・アプリケーション、VPN、プロキシ、ネットワーク・トラフィックなどの主要なデータ・ソースを特定することから始めます。完全な行動プロファイルを構築するために、構造化データと非構造化データの両方を取り込む。

コネクタ、API、またはログシッパーを使用してデータ収集を自動化し、ソース間の時刻同期が一貫していることを確認します。データの正規化とエンリッチメントプロセスに投資し、フォーマットを標準化し、曖昧さを解消し、ユーザーの役割や資産の分類などの関連するメタデータにタグ付けする。

質の高いデータは単なる技術的な要件ではなく、UEBAが有意義で実用的な洞察を生み出すための基盤です。データの質が低いと、ベースラインが歪み、異常検知の効果がなく、誤検知が増加します。

2.堅牢な行動ベースラインの確立

UEBAの有効性は行動モデルの強さに依存する。まず、システムに観察期間（通常は数週間）を設け、その間は警告を出さずに行動を監視する。この期間中、システムは利用パターン、アクセス時間、ネットワーク相互作用、およびシステム動作を学習することにより、ユーザーとエンティティのベースラインを確立する。

より精度を高めるためには、ベースラインはピアアウェアであるべきであり、同じ業務カテゴリに属する類似した役割またはシステムのユーザー間の行動比較を取り入れるべきである。部署や場所などの組織のコンテキストを組み込むことで、ベースラインを調整し、誤分類を防ぐことができる。

定期的にベースラインを見直し、改善する。遠隔地のチームが加わったり、季節的にアクティビティが急増するなど、業務が変化した場合は、システムが適応するようにする。ダイナミックな環境における静的なベースラインは、盲点やアラート疲労につながる。

3.しきい値とリスクスコアリングを慎重に設定する。

すべての異常が同等の懸念を保証するわけではない。UEBAシステムは、逸脱の重大性を評価するためにリスクスコアを使用するが、これは慎重に調整されなければならない。アナリストに負担をかけないよう、保守的な閾値から始め、運用上のフィードバックやインシデント分析に基づいて調整する。

リスクスコアリングは、異常の頻度、重大性、影響を受けるシステムまたはユーザの重要性を考慮する必要がある。例えば、管理者による高価値のサーバーへの異常なログインは、一般的なワークステーショ ンでの同じアクションよりも重視されるべきである。

可能であれば動的なしきい値を使用する。時間の経過とともに許容できる差異を学習する適応型システムは、より微妙なアラートを提供することができる。また、エスカレーションパスを定義し、信頼性が高くリスクの高いイベントに対する対応アクションを自動化することで、ミティゲーションを迅速化します。

4.コンテキストと脅威インテリジェンス

トリアージまでの時間を短縮し、意思決定を改善するためには、コンテキストが不可欠です。人事システムのメタデータ（雇用形態、部署など）、資産目録（システムの重要度など）、および過去の行動パターンを用いてアラートを充実させる。ログイン時間、デバイスID、ジオロケーション、データアクセスログなどの詳細を含める。

脅威インテリジェンス・フィードを統合して、既知の侵害の指標（IOC）や攻撃者の戦術、技術、手順（TTP）と異常を照合します。これにより、ランダムな異常と標的型脅威を区別することができます。

エンリッチされたアラートを分析者に分かりやすい形式で提示し、攻撃チェーンの関連イベントにリンクします。これにより、手作業による調査時間を最小限に抑え、対応措置の質を向上させます。

5.セキュリティ・スタックとワークフローとのインライン統合

価値を最大化するためには、UEBAをより広範なセキュリティ・エコシステムの中で運用する必要がある。SIEMプラットフォームと統合し、既存のログ収集と相関機能を活用する。リスクスコアとアラートをSOARシステムにフィードし、デバイスの隔離や認証情報のリセットなど、自動化されたプレイブックの実行を可能にする。

UEBAのアウトプットが既存のインシデント対応ワークフロー、発券システム、およびレポート・ダッシュボードに確実にマッピングされるようにします。これにより、検知チームと調査チームの間でシームレスなハンドオフが可能になり、重複作業を避けることができます。

統合を徹底的にテストする-UEBAシステムは、正確なアラートを提供するだけでなく、運用の現実に適合していなければなりません。アラートの量、応答時間、使いやすさは、検知の忠実性と同じくらい重要です。行動分析がセキュリティ運用ライフサイクルの自然な一部となるような、緊密に連携したアーキテクチャを目指しましょう。

---

Exabeam:SIEMとUEBAの統合ソリューション

SIEMの幅広いデータと、最先端のUEBAエンジンが可能にする深い分析を組み合わせたシステムが、現場でいくつか展開されている。

統合システムの一例として、Exabeam SOC Platformがある。Exabeamは、最新のデータレイク・テクノロジーに基づいた完全なSIEMソリューションです。さらに、以下のようなUEBA機能を提供します：

• ルールやシグネチャを使用しないインシデント検知 -Exabeamは、高度な分析機能を使用して、事前に定義された相関ルールや脅威パターンを使用せずに、異常で危険なアクティビティを識別します。高度な設定や微調整を必要とせず、誤検知を減らしながら、意味のあるアラートを提供します。
• セキュリティ・インシデントの自動タイムライン -Exabeamは、複数のユーザー、IPアドレス、ITシステムにまたがるセキュリティ・インシデントを示すタイムラインに、関連するセキュリティ・イベントをつなぎ合わせることができます。
• 動的なピアグループ化 -Exabeamは、個々のエンティティの行動ベースライニングを実行するだけでなく、類似したエンティティ（同じ部署のユーザーや同じクラスのIoTデバイスなど）を動的にグループ化し、グループ全体の正常な集団行動を分析し、危険な行動を示す個人を検出します。
• 横方向の移動検知 -Exabeamは、機密データや重要な資産を求めて、異なるIPアドレス、認証情報、マシンを使用してネットワーク内を移動する攻撃者を検知します。複数のソースからのデータを結びつけ、点と点を結びつけ、攻撃者がネットワーク内を移動する過程を表示します。