「RSA SA」は、収集した大量のネットワークセッション情報やログ情報に、メタ情報とインデックス情報を付与して管理するアーキテクチャを採用しているという。このアーキテクチャにより、データを蓄積して分析するだけの市場製品よりも迅速にデータの関連性を見出すことが可能となり、脅威を早期に発見できるという。
「RSA SA」は、ネットワークセッション情報を全て収集するため、脅威の引き金となったメールやWebアクセスを再現することができるという。また、メタ情報やログ情報を長期的に蓄積し、その大量な情報の分析を、「RSA SA Warehouse」と呼ぶHadoopベースの分析エンジンが並列処理し、脅威の傾向の発見、レポートの生成を高速に行うという。
「RSA SA」の特徴の1つであるインテリジェンスの活用では、RSA First WatchやRSA AFCCが収集する独自の脅威情報に加えて、他ベンダーによる最新のセキュリティ脅威を統合化した「RSA Live」 を提供するという。
「RSA Live」と収集したセッションやログ情報を関連づけて分析することで、メタ情報の質が上がり、分析の効率が向上するため、攻撃の対象、脅威の種類、漏えいの事実などを速やかに確認してインパクトレベルを判断し通知することが可能だとしている。
発表によると「RSA Security Analytics」の特徴は次のとおり。
・ビッグデータの分析機能
長期間にわたり集積した大量のパケットとログを用いて、サイバー攻撃の分析に必要な情報を持つメタ情報やインデックス情報から、インシデントの検知やレポートの作成が可能。
・リアルタイムで行う強力な分析機能
メタ情報やインデックス情報をもとに、インシデントを高速に検知。インシデント検知後にリアルタイムでアラートを生成。
・洗練されたインテリジェンスの活用
RSA独自のインテリジェンスと他ベンダーの脅威情報を効果的にシステムへ展開できる「RSA Live」を活用し、攻撃の対象、脅威の種類、漏えいの事実を確認。
なお、4月24日から提供する製品は英語版で、日本語サポートは2013年7月以降に提供を開始するという。
■「RSA Security Analytics」の詳細
http://japan.rsa.com/node.aspx?id=4047
