デル テクノロジーズ、機械学習により脅威の検知性能がさらに向上した全方位型SIEM、RSA NetWitness® Platform 11.4を発表
デル テクノロジーズの日本における事業を展開する二社である、デル株式会社(本社:神奈川県川崎市、URL:http://www.dell.co.jp/ )と、EMCジャパン株式会社(本社:東京都渋谷区、URL:https://www.delltechnologies.com/ja-jp/index.htm ):(代表取締役社長:大塚 俊彦、以下、デル テクノロジーズ)は本日、サイバー攻撃対策製品「RSA NetWitness® Platform 11.4」を発表しました。本バージョンでは、可視化領域が拡大し、調査機能が大幅に向上しました。
サイバー攻撃の対策では、豊富なデータソースを活用して事象を分析し、予兆把握や早期発見、早期対処により、被害発生や業務への影響を最小限に食い止める施策に重点が移ってきています。しかし、そのために設置したネットワーク機器やセキュリティ機器が個々にアラートを発し、膨大な数のアラートの調査に時間がかかり、スキルの高い人材が不足する状況に置かれている組織も少なくありません。インテリジェントなアラート生成や情報の可視化領域を拡大して迅速に対処するためのニーズが高まっています。
「RSA NetWitness Platform 11.4」は、脅威の検知と対応で重要な点である可視化領域の拡大と検知スピードに重点を置いてバージョンアップしています。パケットを機械学習用のデータソースとして学習し、情報量を増やし、検索機能の向上でインシデント&レスポンス対応を効率化できるようになりました。
「RSA NetWitness Platform 11.4」の主な強化点は、下記のとおりです。
1) パケット情報を機械学習して広い可視性を提供
「RSA NetWitness Network」で収集するパケットのメタデータを、「RSA NetWitness UEBA」で機械学習できるようになりました。機械学習の学習用データソースとして、従来のログとエンドポイントに加えてパケットのメタデータが加わったことで学習量が格段に増え、精度が向上して可視化領域が広がりました。
学習情報は異常検知モデルに適用し、通常値(ベースライン)と継続的に比較して許容値を超えるものを不正が疑われる行動として検知します。検知した行動に対し、接続元IP/接続先IPのトラフックを新しく備わった24種類のインジケータ(*1)からの情報と組み合わせてアラートの精度を高めます。また、重要度と一意性に基づいてリスクスコアを算出し、MITRE ATT&CKフレームワーク(*2)に対応して疑われる行為を示す3種類のアラート(「データ流出の疑い」、「フィッシングの疑い」、「標準時間外の活動」)を示します。
アナリストは分類されたアラートを受け取り、担当者の専門や技術スキルを踏まえた適切で迅速な初動が可能になります。
2) SSL暗号化通信に潜む脅威を検知
SSL通信は通信内容が暗号化されており、通常は通信内容を分析できませんが、Webサイトの常時SSL化は今後、一般化すると見込まれSSL通信に対するセキュリティ対策が急務となっています。
「RSA NetWitness」の旧バージョンでは、他社のセキュリティ機器が復号した情報を用いてSSL暗号化通信の可視化を図ってきました。本バージョンからは、暗号化通信のヘッダ部分の情報を用いて学習することにより、復号装置を利用しない状況においても、データ流出の疑いなど複数の脅威を検出することができるようになりました。
「RSA NetWitness UEBA」は、SSL通信で暗号化されていないヘッダの一部を独自のインジケータで参照します。それらを通常値(ベースライン)と比較して逸脱しているとアラートを出します。
例えば、SSL通信が示す通信先の国、ポート、ドメイン、SSLサブジェクトが通常と異なる場合とトラフィックボリュームが多い場合は、フィッシングの疑いのある通信とみなすことができます。情報漏えいが疑われる通信では、通信先ポートや送信元のトラフィックボリュームの多さが判断材料となります。
アナリストは、SSL通信からもマルウェアや不正なコードが含まれると疑われる不正通信を、より速く検知できるようになりました。
3) イベント検索機能の強化により問題解決までの時間短縮
検索機能は、事象の調査のためにアナリストにより、頻繁に使用されます。本バージョンでは、イベント分析画面に検索機能が集約され、新しく下記の機能が加わりました。
プロファイル作成機能を活用することにより、上級アナリストが複雑なクエリープロファイルを作成して他メンバーと共有するなど、幅広いスキルセットのアナリストに対応できます。
これらの機能を利用することによりアナリストは、より柔軟なクエリーの作成が可能となるうえ、画面を遷移することなく調査を効率的に進められ、問題解決までの時間短縮を図ることができます。
価格と提供について
発売日: 2020年4月14日(火)
提供形態:ハードウェアアプライアンス、仮想版、クラウド版
価格:「RSA NetWitness Platform 11.4」は、「RSA NetWitness Endpoint」、「RSA NetWitness Logs」、「RSA NetWitness Network」、「RSA NetWitness UEBA」、「RSA NetWitness Orchestrator」で構成され、価格はユーザー数、ライセンス体系(買取/年間ライセンス)、提供形態により異なります。詳しくはRSAまたはビジネスパートナーにお尋ねください。
提供について:RSAおよびRSAのビジネスパートナーから提供します。
「RSA NetWitness Platform」について:「RSA NetWitness Platform」は、エンドポイント、ログ、パケットから収集したデータを可視化・分析してインシデント対応を支援するSIEM製品スイート。エンドポイントフォレンジックツールの「RSA NetWitness Endpoint」、ログ収集・分析ツールの「RSA NetWitness Logs」、パケット収集・分析ツールの「RSA NetWitness Network」、機械学習を用いた行動分析ツール「RSA NetWitness UEBA」、脅威インテリジェントベースでセキュリティ運用の自動化と効率化を支援する「RSA NetWitness Orchestrator」から構成されます。
*1 例として、ソースIP(インバウンドトラフィック)では、Abnormal Destination IP, Abnormal SSL Subject、Abnormal SSL Thumbprint、High number of Distinct SSL Subjectをはじめとするインジケータが用意されている
*2 MITRE ATT&CKは、米国のMITRE社によるサイバー脅威の戦略や手法について体系化したフレームワーク。https://attack.mitre.org/
参考資料:
●イベント検索機能の強化- 検索時の補完機能
※メタキーやメタ値の補完機能、AND 条件や OR 条件の自動設定と切り替え、カッコ()の指定が容易に行えます。
■EMCジャパン株式会社について
EMCジャパンは、情報インフラの卓越したテクノロジーとソリューションの提供を通して、日本のお客様の情報インフラの課題解決をご支援し、あらゆる規模のお客様のビジネスの継続と成長、さらにビジネス価値の創造に貢献致します。https://www.dellemc.com/ja-jp/index.htm
■デル テクノロジーズについて
デル テクノロジーズ(NYSE:DELL)は、企業や人々がデジタルの未来を築き、仕事や生活の仕方を変革するのを支援します。同社は、データ時代に向けて、業界で最も包括的かつ革新的なテクノロジーとサービスのポートフォリオをお客様に提供しています。
© Copyright 2020 Dell Inc.、その関連会社。All Rights Reserved.
Dell Technologies, Dell, EMCおよびDell EMCが提供する製品及びサービスにかかる商標は、米国Dell Inc. 又はその関連会社の商標又は登録商標です。その他の製品の登録商標および商標は、それぞれの会社に帰属します。
「RSA NetWitness Platform 11.4」は、脅威の検知と対応で重要な点である可視化領域の拡大と検知スピードに重点を置いてバージョンアップしています。パケットを機械学習用のデータソースとして学習し、情報量を増やし、検索機能の向上でインシデント&レスポンス対応を効率化できるようになりました。
「RSA NetWitness Platform 11.4」の主な強化点は、下記のとおりです。
1) パケット情報を機械学習して広い可視性を提供
「RSA NetWitness Network」で収集するパケットのメタデータを、「RSA NetWitness UEBA」で機械学習できるようになりました。機械学習の学習用データソースとして、従来のログとエンドポイントに加えてパケットのメタデータが加わったことで学習量が格段に増え、精度が向上して可視化領域が広がりました。
学習情報は異常検知モデルに適用し、通常値(ベースライン)と継続的に比較して許容値を超えるものを不正が疑われる行動として検知します。検知した行動に対し、接続元IP/接続先IPのトラフックを新しく備わった24種類のインジケータ(*1)からの情報と組み合わせてアラートの精度を高めます。また、重要度と一意性に基づいてリスクスコアを算出し、MITRE ATT&CKフレームワーク(*2)に対応して疑われる行為を示す3種類のアラート(「データ流出の疑い」、「フィッシングの疑い」、「標準時間外の活動」)を示します。
アナリストは分類されたアラートを受け取り、担当者の専門や技術スキルを踏まえた適切で迅速な初動が可能になります。
2) SSL暗号化通信に潜む脅威を検知
SSL通信は通信内容が暗号化されており、通常は通信内容を分析できませんが、Webサイトの常時SSL化は今後、一般化すると見込まれSSL通信に対するセキュリティ対策が急務となっています。
「RSA NetWitness」の旧バージョンでは、他社のセキュリティ機器が復号した情報を用いてSSL暗号化通信の可視化を図ってきました。本バージョンからは、暗号化通信のヘッダ部分の情報を用いて学習することにより、復号装置を利用しない状況においても、データ流出の疑いなど複数の脅威を検出することができるようになりました。
「RSA NetWitness UEBA」は、SSL通信で暗号化されていないヘッダの一部を独自のインジケータで参照します。それらを通常値(ベースライン)と比較して逸脱しているとアラートを出します。
例えば、SSL通信が示す通信先の国、ポート、ドメイン、SSLサブジェクトが通常と異なる場合とトラフィックボリュームが多い場合は、フィッシングの疑いのある通信とみなすことができます。情報漏えいが疑われる通信では、通信先ポートや送信元のトラフィックボリュームの多さが判断材料となります。
アナリストは、SSL通信からもマルウェアや不正なコードが含まれると疑われる不正通信を、より速く検知できるようになりました。
3) イベント検索機能の強化により問題解決までの時間短縮
検索機能は、事象の調査のためにアナリストにより、頻繁に使用されます。本バージョンでは、イベント分析画面に検索機能が集約され、新しく下記の機能が加わりました。
- 検索にメタキーを使用しないフリーテキスト検索
- 検索結果のソート機能とグルーピング機能
- クエリー共有が可能になるプロファイル作成機能
プロファイル作成機能を活用することにより、上級アナリストが複雑なクエリープロファイルを作成して他メンバーと共有するなど、幅広いスキルセットのアナリストに対応できます。
これらの機能を利用することによりアナリストは、より柔軟なクエリーの作成が可能となるうえ、画面を遷移することなく調査を効率的に進められ、問題解決までの時間短縮を図ることができます。
価格と提供について
発売日: 2020年4月14日(火)
提供形態:ハードウェアアプライアンス、仮想版、クラウド版
価格:「RSA NetWitness Platform 11.4」は、「RSA NetWitness Endpoint」、「RSA NetWitness Logs」、「RSA NetWitness Network」、「RSA NetWitness UEBA」、「RSA NetWitness Orchestrator」で構成され、価格はユーザー数、ライセンス体系(買取/年間ライセンス)、提供形態により異なります。詳しくはRSAまたはビジネスパートナーにお尋ねください。
提供について:RSAおよびRSAのビジネスパートナーから提供します。
「RSA NetWitness Platform」について:「RSA NetWitness Platform」は、エンドポイント、ログ、パケットから収集したデータを可視化・分析してインシデント対応を支援するSIEM製品スイート。エンドポイントフォレンジックツールの「RSA NetWitness Endpoint」、ログ収集・分析ツールの「RSA NetWitness Logs」、パケット収集・分析ツールの「RSA NetWitness Network」、機械学習を用いた行動分析ツール「RSA NetWitness UEBA」、脅威インテリジェントベースでセキュリティ運用の自動化と効率化を支援する「RSA NetWitness Orchestrator」から構成されます。
*1 例として、ソースIP(インバウンドトラフィック)では、Abnormal Destination IP, Abnormal SSL Subject、Abnormal SSL Thumbprint、High number of Distinct SSL Subjectをはじめとするインジケータが用意されている
*2 MITRE ATT&CKは、米国のMITRE社によるサイバー脅威の戦略や手法について体系化したフレームワーク。https://attack.mitre.org/
参考資料:
●イベント検索機能の強化- 検索時の補完機能
※メタキーやメタ値の補完機能、AND 条件や OR 条件の自動設定と切り替え、カッコ()の指定が容易に行えます。
●イベント検索機能の強化- テキスト検索
※テキスト検索を同じ場所で同時に行えます。
■EMCジャパン株式会社について
EMCジャパンは、情報インフラの卓越したテクノロジーとソリューションの提供を通して、日本のお客様の情報インフラの課題解決をご支援し、あらゆる規模のお客様のビジネスの継続と成長、さらにビジネス価値の創造に貢献致します。https://www.dellemc.com/ja-jp/index.htm
■デル テクノロジーズについて
デル テクノロジーズ(NYSE:DELL)は、企業や人々がデジタルの未来を築き、仕事や生活の仕方を変革するのを支援します。同社は、データ時代に向けて、業界で最も包括的かつ革新的なテクノロジーとサービスのポートフォリオをお客様に提供しています。
© Copyright 2020 Dell Inc.、その関連会社。All Rights Reserved.
Dell Technologies, Dell, EMCおよびDell EMCが提供する製品及びサービスにかかる商標は、米国Dell Inc. 又はその関連会社の商標又は登録商標です。その他の製品の登録商標および商標は、それぞれの会社に帰属します。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像