「RSA Advanced SOCソリューション」は、ネットワーク、アプリケーション、エンドポイント(社内に散在するPC)などから集められるデータを分析し、サイバー攻撃をはじめとする脅威の予兆を迅速に検知するという。これによりSOCチームは、企業に対するサイバー脅威の可視性を高め、迅速に対策を打つことが可能になるという。
「RSA Advanced SOCソリューション」は、4つのコンポーネントで構成されており、そのうち、脅威の検出と分析を行う「Security Analytics」「ECAT」の機能強化点は次のとおり。
1. RSA Security Analytics 10.4(ログとパケットから脅威の検出、分析を行う高度セキュリティ管理プラットフォーム)
・可視化の向上:検索機能の強化、「ECAT」との連携により、エンドユーザーのPCに起因するアラートを多く獲得。これにより分析対象となる情報が増え、状況の把握が、より容易に。
・SIEM機能の強化:インシデント管理機能を追加し、より詳細な状況表示が可能に。トラフィック監視のプロトコルNetFlow、およびログ出力のフォーマットCEF(Common Event Format)を新しくサポート。また、収集したデータのアーカイブ用ストレージとして、「EMC VNX」や他社製ストレージをサポート。
2, RSA ECAT 4.0(PCに侵入したマルウェアをシグネチャーを使わずに検出するエンドポイントフォレンジックツール)
・拡張性を強化:ECATサーバーは、1サーバーあたり5万エンドユーザーをサポートできるよう拡張。サーバーは、管理者や拠点の分散状況に応じて複数台を配置可能に。これにより、監視対象の追加、拡張が容易に。
・エンドポイント分析の強化:未知のファイルに対する自動スキャンをサポート。IoC(Indicator Of Compromise)ベースの アラート機能により、脅威レベルのスコアリング精度が向上し、可視性が向上。
