どのようなユーザー アクティビティが検出されますか?
Guard Detect は、Jira、Confluence、アトラシアンの管理などの アトラシアン クラウド製品全体で、チームが不審なユーザー アクティビティや機密データの可能性があるものを検出、調査、対応するのに役立ちます。
Who can do this? |
検出には以下の 2 種類があります。
ユーザー アクティビティ: これらの検出ではユーザーの行動を分析し、疑わしい行動について通知します。
Content scanning - these detections focus on data, and alert you when potentially sensitive data is added to Confluence pages. What sensitive data is detected?
ユーザー アクティビティの検出
アトラシアンでは組織の以下の 5 種類のアクティビティをモニタリングしています。
認証イベントとアクセス イベント
データ漏えいイベント
異常なユーザー アクティビティ
製品設定イベント
統合変更イベント
認証イベントとアクセス イベント
内部か外部かを問わず、脅威アクターは通常、組織管理者などの権限の高いユーザー アカウントを標的にして組織のデータにアクセスするため、これらのアクティビティをモニタリングすることが重要となります。 アクセス権の変更を検出することで、アカウントの侵害や正当なアカウントの悪用を防ぐことができます。
このカテゴリの検出には以下が含まれます。
アクセス権とパスワードの変更: 管理者が別のユーザーとしてログインすること (ユーザーのなりすまし)、組織管理者の変更、組織管理者のパスワード リセットなど
ポリシーの変更: IP 許可リスト ポリシーや認証ポリシーの変更、検証済みドメインの追加または削除など
管理者 API キーの作成
例: ある IT 管理者が退職する予定なのですが、社内の Confluence スペースと Jira プロジェクトへのアクセス権を密かに維持したいと考えています。 この人物は会社の認証ポリシーに準拠していない別の管理者アカウントを作成することで、退職した後でもログインできるようにするつもりです。 新しい組織管理者アカウントが追加されると、それが検出されてチームにアラートが届くため、アカウントが悪用される前に脅威を調査して対応することができます。 |
データ漏えいイベント
組織のデータは最も貴重な資産の 1 つです。同時に、データには部外者と内部関係者両方の脅威から狙われやすい側面もあります。
データ漏えいが発生すると、脅威アクターは機密データや専有データを組織から盗み、組織の保護対象システム外で共有し、ビジネスにリスクをもたらそうとします。 疑わしいデータ漏えいイベントを検出することで、チームでそれらを調査し、必要に応じて、攻撃者が盗んだデータを使用できるようになる前に対応できます。
次のようなイベントを検出してチームにアラートを送信します。
Confluence ページとスペースのエクスポート、Confluence サイトのバックアップ、Atlassian Access の監査ログのエクスポート、ID プロバイダーの設定変更などのデータのエクスポート。
例: 財務部門のある従業員が退職することになり、組織で最後となる週を過ごしています。 この人物は、個人的な参照用に、昨年取り組んだ戦略的イニシアチブに関する情報を含む一連の Confluence ページを保存したいと考えています。 この人物はプロジェクトに関連する 11 の Confluence ページを 30 分以内に PDF にエクスポートし、個人のメール アドレスに送信して自分のパソコンに保存しました。 短期間に異常な量の Confluence ページをユーザーがエクスポートしたときにチームにアラートが届くことで、チームではそのイベントを調査し、その従業員が雇用契約に違反していないかどうかを判断できます。 |
異常なユーザー アクティビティ
組織のシステムにアクセスできるユーザーには、それらを悪用する力もあります。 最小特権の原則に従うことで、厳重に保護されたシステムへの平均的な内部関係者のアクセスを制限できますが、それでもほぼすべてのユーザーは仕事を遂行するために機密データやシステムへのアクセスを必要とします。
しかし、ユーザー アクティビティの大規模なモニタリングは、ほとんどのセキュリティ チームにとって非常に困難か実行不可能です。 ユーザー アクティビティのモニタリングを自動化することで、通常とは異なるユーザーを把握し、不審な行動がエスカレートする前に検出できます。
次のようなイベントを検出してチームにアラートを送信します。
Confluence における不審な検索アクティビティ
Jira の課題と Confluence ページのクローリング
例: あるビジネス アナリストが最近、新しい生産性向上ソフトウェアをダウンロードしましたが、このソフトウェアにはあいにくコモディティ マルウェアの一種も含まれていました。 マルウェアの作成者はビジネス アナリスト ユーザーと同じレベルの権限で Confluence にアクセスできるようになり、盗んだりアクセス権の維持に使用したりできる機密情報を検索し始めました。 ビジネス アナリストのユーザー アカウントが Confluence で異常と思われる不審な検索を何度か行っているというアラートがチームに届くため、アクティビティを調査して根本原因に対処できます。 |
製品設定イベント
安全でない設定は悪意のある攻撃者が意図的に行うこともありますが、経験の浅い管理者が誤って起こしてしまう場合もあります。 アクターに善意があろうとなかろうと、安全でない設定は会社でホストしているデータすべてに悪影響を与える可能性があります。
組織全体の製品構成イベントをモニタリングすることで、安全でない設定が行われたり偶発的な変更が加えられた場合でも、チームでそれを把握して下流への影響を回避できます。
次のようなイベントを検出してチームにアラートを送信します。
パブリック構成: アプリケーション トンネルの作成と削除、および Jira、Confluence、Bitbucket への匿名またはパブリック アクセスの変更。
組織管理者の変更
Guard Detect アクセス
例: 新たにオンボードした管理者の 1 人が、Atlassian Cloud サイトから Confluence の Data Center インスタンスへのアプリ トンネルを作成しようとして、その過程で既存のアプリ トンネルをうっかり削除してしまいました。 アプリ トンネルが削除されたことで、通常のユーザーは必要なサイトやプロジェクトに数時間アクセスできなくなり、ビジネスに多くの遅延が生じました。 新しいアプリ トンネルが作成されるか削除されるとチームにアラートが届くので、チームで変更について把握し、業務でアプリ トンネルを利用している従業員に重大な混乱が生じる前に、問題のトリアージと修正に必要なコンテキストが得られます。 |
統合変更イベント
When you install a third party app from the Atlassian Marketplace, it may affect one — or many — users in your cloud site. Keeping track of which apps have access to your systems, and what type of access they have is critical to protecting your business.
次のようなイベントを検出してチームにアラートを送信します。
Marketplace アプリのインストールと削除: 現在、これらの検出は Forge アプリと、3LO アプリが組織に初めてインストールされたときにのみ発生します。
例: マーケティング チームのシニア リーダーが、組織全体の戦略的アップデートに取り組んでいて、提示している情報をわかりやすく説明するために Confluence に新しいカスタム チャート アプリを追加したいと考えています。 チームではスイート内の Cloud-Fortified アプリのみを許可していますが、このアプリはそのカテゴリには入りません。 しかし、メンバーは創業当初からの従業員であり、在職期間を通じて非常に特権的なアクセスを維持しているため、承認なしに新しいアプリをインストールすることができます。 新しい Marketplace アプリがインストールされるとすぐにチームに通知されます。 チームでアラートを調査してこのアプリが社内基準を満たしていないと判断したら、すぐに削除することができます。 |
モニタリング対象イベントの包括的なリストを確認するには、[Detections (検出)[ > [ユーザー アクティビティ] に移動します。
この内容はお役に立ちましたか?