デルテクノロジーズの日本における事業を展開するデルとEMCジャパンは、サイバー攻撃対策製品「RSA NetWitness Platform 11.4」を4月14日に発売した。
「RSA NetWitness Platform 11.4」では、「RSA NetWitness Network」が収集したパケットのメタデータを、「RSA NetWitness UEBA」で機械学習できるようになっている。機械学習用のデータソースとして、従来のログとエンドポイントに加えて、パケットのメタデータを使用することで学習量が格段に増え、精度が向上し可視化領域が広がった。
学習情報は異常検知モデルに適用し、通常値(ベースライン)と継続的に比較して、許容値を超えるものを「不正が疑われる行動」として検知する。検知した行動に対しては、接続元IP/接続先IPのトラフィックを新たに搭載した24種類のインジケータからの情報と組み合わせることによって、アラートの精度を高めている。
また、重要度と一意性に基づいてリスクスコアを算出し、MITRE ATT&CKフレームワークに対応して疑われる行為を示す、「データ流出の疑い」「フィッシングの疑い」「標準時間外の活動」の、3種類のアラートを表示する。
これまでの「RSA NetWitness」では、他社のセキュリティ機器が復号した情報を用いてSSL暗号化通信の可視化を行ってきたが、最新バージョンでは暗号化通信のヘッダ部分の情報を用いて学習することで、復号装置を利用しない状況でもデータ流出の疑いなど、複数の脅威を検出できるようになった。
さらに、「RSA NetWitness UEBA」によってSSL通信で暗号化されてないヘッダの一部を、独自のインジケータで参照し、それらを通常値(ベースライン)と比較して逸脱しているとアラートを出す。これにより、SSL通信からもマルウェアや不正なコードが含まれると疑われる不正な通信を、よりすばやく検知することが可能になる。
検索機能は、イベント分析画面に集約されるとともに、検索にメタキーを使用しないフリーテキスト検索、検索結果のソート機能とグルーピング機能、クエリーを共有できるプロファイル作成機能が追加された。プロファイル作成機能によって、上級アナリストが複雑なクエリプロファイルを作成して他のメンバーと共有するなど、幅広いスキルセットのアナリストに対応する。
強化されたイベント検索機能の一例。テキスト検索が同じ場所で同時に行える
また、これらの機能を利用することで、より柔軟なクエリーの作成が可能になるとともに、画面を遷移することなく調査を効率的に進められるため、問題解決までの時間を短縮できるようになる。
