「RSA SA」は、機械学習の技術を利用したリアルタイム行動分析エンジンの追加により、攻撃の検知能力と調査能力が大幅に向上した。リアルタイム行動分析エンジンは、攻撃の顕著な兆候であるC&C活動を、人手を介すことなく自動的に検出するという。
また、侵入したマルウェアが制御できるPCを増やすラテラルムーブメントを検知する。さらに、多種類の情報ソースを取り込んで過去のインシデントとともに分析し、攻撃が疑われる不審な行動を自動的に特定してダッシュボード表示する。これにより、インシデントの全領域が把握しやすくなり、調査や対処の優先付けが容易になるという。
「RSA SA」では、脅威の真偽を判断するための高いセキュリティスキルが不要となり、調査の手間や時間も大幅に削減できるとしている。
「RSA SA 10.6」の特徴は次のとおり。
・迅速な検知と分析により、攻撃を早期に認識
「RSA SA」の検知機能には、C&C活動やラテラルムーブメントの検知手法があらかじめ組み込まれている。攻撃を早期に検知することで初期対応を迅速に開始でき、被害を把握するまでの時間を短縮し、調査すべき範囲の拡大を抑えられる。
・優先付けが容易になり、対応までの時間を短縮
「RSA SA」は、マルウェア侵入を検知するエンドポイントフォレンジック製品「RSA ECAT」から得られるエンドポイント情報や、ブラックリスト、ホワイトリスト、過去のインシデント情報などの多種類の情報ソースを調査ワークフローに取り入れている。
重要情報が可視化されたダッシュボード表示により、インシデントの全領域を即時に把握することができる。さらに、ダッシュボード上のさまざまな要素をドリルダウンしていくことにより、詳細を確認でき、対応の優先順位付けが容易かつ迅速に行える。
