「SecBI」は、この製品をネットワークに設置し、プロキシ通信のログをすべて転送するだけで、自律解析エンジン「Autonomous Investigation」が脅威を自動解析し迅速に検出するという。クライアントエージェントは不要、ネットワークの構成変更も不要で、既存システムに影響がなく簡単即座に導入可能だという。導入はオンプレミス環境、クラウド環境、マルチテナントと柔軟な導入スタイルをとることができる。
「Autonomous Investigation」は、機械学習エンジンであり、アナリストを凌駕するスピードで24時間365日脅威を自動検出するという。「Autonomous Investigation」は、侵害されたネットワークの影響を受けるすべてのユーザー、デバイス、サーバーなどを特定し、悪意のあるドメイン、IP、C&Cサーバー、侵入ポイントを含む攻撃を明らかにする。
検出プロセスはDGA(ドメインジェネレーションアルゴリズム:C&Cサーバーとの通信毎にドメインを変更する手法)、Fast Flux(サーバーのIPアドレスを次々と変えていくことによって、フィッシングなど悪意のあるサイトの存在を隠す手法)、暗号化されたP2P、ボットネットなどの複雑かつ悪質な手法の検出に効果を発揮する。
■「SecBI」のソリューションの特徴
- Autonomous Investigationは、何千もの過剰検出アラートはなし
- Autonomous Investigationは、各ポイントで情報を分析:感染したデバイスやそのユーザー、悪意のあるC&Cサーバー、感染したドロップポイントなど
- 複雑な手動分析は不要:ログデータの手動での検索、複数デバイスの活動を比較・関連付け、複雑な分析クエリを書くことなどは、すべて不要
- データ内のすべての関連する証拠をクラスター化して検出し、要約して提示
■機械学習
SecBIのユニークな技術は、膨大な量のプロキシ通信ログを継続的に分析し、隠れた未知のセキュリティインシデントを検出。
- SecBIの独自エンジンは、組織内の既存のプロキシ通信ログを分析
- エンジンは、分析したプロキシ通信ログから、関連するイベントもしくはユニークなイベントの集合を個別のクラスターに分類
- クラスターの活用により、隠れたインシデントまで確実に検出し、正確な分析結果を提供
- プロキシ通信ログを継続的に分析することで、クラスターを最新状態に見直し、より確実なインシデント検出が可能
- 前項各ステップにより迅速かつ確実なインシデント対応と次のステップ計画が可能
■悪意あるクラスターを特定し、誤検知を削減
- インシデントの詳細説明や、インシデントレポートを含むフォレンジック情報を用いて、より迅速かつ正確な検出を行い、誤検知を大幅に削減
- 関連するフォレンジック情報を1つのインシデントに集約し、攻撃範囲をフルスコープで表示
■迅速なインシデント対応と滞留時間の短縮
散発的なアラートの追跡など、煩雑なインシデント調査プロセスを不要とし、セキュリティチームの負荷軽減に貢献。
