機械学習モデルを使用してユーザーによる異常または疑わしいアップロード (または) ダウンロードアクティビティを検出。大手配電組織は、ユーザーによる異常または疑わしいアップロード (または) ダウンロード活動を使用して、内部者の脅威を監視したいと考えています。

 

課題
  • セキュリティ上の脅威:電力会社から機密データを漏洩させる可能性のある悪意のある内部関係者を特定する。
  • 偽陽性率の低減:従来のSIEMルールでは偽陽性率が高い。従来のSIEMのルールを使用することで、多くの偽陽性アラートが発生するため、ML機能を活用した異常検知に焦点を当てる。

 

解決策
  • データの統合、集計、クリーニング、変換にSplunk Enterpriseを活用しました。
  • データの可視化、データのモデル化、モデル性能の評価にSplunk MLTKのアプリを利用しました。
  • 不審なアップロード(またはダウンロード)アクティビティを検出するために、複数の ML モデルを評価しました。
  • 選択されたモデルは、パッケージ化され、本番環境に導入されました。

 

メリット
  • インサイダー脅威の可視化
  • 偽陽性アラートの削減
  • ログとアラートの確認にかかる手作業の削減。
  • 監視対象システム/データソース: Squid プロキシログ

 

ユーザー: セキュリティオペレーションセンターチーム

プロダクト: Splunk Enterprise

Splunkアプリ:機械学習ツールキット (Machine Learning Tool Kit)

お問い合わせ

メッセージの送信

一般的な情報をお探しの方、または特定の質問をお持ちの方、以下のフォームにご記入ください。 または、susan@positka.com まで
ご連絡ください。