今回の検証では、「Vectra Networks社製Xシリーズ」による未知・既知の脅威検出と、「AN-TR」のネットワーク制御機能、「ProxySG」による外部Web通信遮断を連携することで、サイバー攻撃を検出した際に自動で初動のインシデントレスポンス対応を実現できることを確認したという。
マルウエア感染などの被害にあった場合でも、迅速にネットワークから被疑端末とインターネットとのWeb通信を遮断し、感染の拡大や二次被害を防止できる。「ProxySG」とVectra Networks社製品を連携させることで、既存のネットワーク環境を変更することなく、サイバーセキュリティ対策の強化ができるので、すでに「ProxySG」を導入済みや検討中の企業に最適なソリューションだとしている。
検証の設計内容
■Vectra Networks社製品
1. 設定した閾値を超えた場合、and/or特定のDetectionが検知した場合に、Syslogを発信
■AN-TR
1. 受信したSyslogから被疑ホストのIPアドレスを抽出し、「Suspicious Lists」としてリスト生成
2. 被疑ホスト一覧(IPアドレス)を「Suspicious Lists」として公開
■ProxySG
1. ProxySG側で、AN-TR側の「Suspicious Lists」リストを定期的に参照し、リスト情報を取得
2. 「Suspicious Lists」に追加された被疑ホストからの外部Web通信をブロック
