デル テクノロジーズの日本事業を展開する2社であるデルとEMCジャパンは、サイバー攻撃対策製品「RSA NetWitness Platform 11.4」を4月14日に発表した。
「RSA NetWitness Platform」は、エンドポイント、ログ、パケットから収集したデータを可視化・分析してインシデント対応を支援するSIEM製品スイート。
「RSA NetWitness Platform 11.4」では、脅威の検知と対応で重要な点である、可視化領域の拡大と検知スピードに重点が置かれ、バージョンアップされた。
具体的には、パケット収集・分析ツールの「RSA NetWitness Network」で収集するメタデータを、機械学習を用いた行動分析ツール「RSA NetWitness UEBA」で機械学習できるようになった。機械学習の学習用データソースとして、従来のログとエンドポイントに加えてパケットのメタデータが加わったことで学習量が増え、精度が向上して可視化領域が広がった。
また、旧バージョン「RSA NetWitness」では、他社のセキュリティ機器が復号した情報を用いてSSL暗号化通信の可視化をしていたが、今回のバージョンより、暗号化通信のヘッダ部分の情報を用いて学習することで、復号装置を利用しない状況でもデータ流出の疑いなど複数の脅威を検出することができる。これにより、アナリストは、SSL通信からもマルウェアや不正なコードが含まれると疑われる不正通信を、速く検知することが可能となる。
さらに、イベント分析画面に検索機能が集約され、検索にメタキーを使用しないフリーテキスト検索のほか、検索結果のソート機能とグルーピング機能やクエリー共有が可能になるプロファイル作成機能が新たに搭載された。これらの機能を利用することによりアナリストは、より柔軟なクエリーの作成が可能となるうえ、画面を遷移することなく調査を効率的に進めて、問題解決までの時間短縮を図ることができる。
イベント検索機能の強化 - 検索時の補完機能
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
