「RSA NetWitness」には、サイバー脅威インテリジェンスを共有するためのクラウドベースのプラットフォーム「RSA Live」がある。ここでは、RSAの複数のサイバーセキュリティ対策専門チームが収集した、疑わしいIPアドレスなどのデータフィードや脅威に関する情報、メタ生成をはじめとする各種ルールやレポートが集積されている。「NetWitness」ユーザーは、これらを自社の「NetWitness」に取り込むことにより、最新の脅威情報が得られ、予防体制を強化できるという。
この「RSA Live」に新しく「RSA Live Connect」が追加され、サイバー脅威インテリジェンスの専門会社が提供する脅威情報を取り込むことができるようになった。また、「RSA Live Connect」ユーザーコミュニティが評価した脅威の集計結果や、コミュニティメンバーのRSA NetWitness Log/PacketsやRSA NetWitness Endpointから送られた脅威データフィードが集積される。
1. 脅威インテリジェンス会社の脅威情報を活用
取り込める脅威ソースは、脅威インテリジェンスサービス会社である米ThreatConnect社の「Threat Intelligece Platform」、米Soltra社の「Soltra Edge」、米Recorded Future社の「Cyber Threat Intelligence」。ユーザー企業は各社と契約し、提供されるコンテンツ(IPアドレス、DNS、オーナー、URL、リスク判定、脅威タイプ、関連情報など)を、設定した時間単位(毎時、毎日、毎週)に、指定フォーマット(CSV、XML、STIX)で「RSA Live Connect」を通じて自社の「RSA NetWitness」に取り込むことができる。
2. コミュニティによる脅威の評価を活用
不審なIPアドレスの調査に、コミュニティメンバーの評価を参考にできる仕組み。SOCやCSIRTが調査で最初に取り組むのは不正な通信の特定であるため、疑わしい通信を発しているPCやデバイスを発見する手がかりであるIPアドレスは、調査の起点となる重要な要素になる。
他の組織の評価は、攻撃を特定する上で参考になることから、ユーザーはRSA Live Connectで報告されているIPアドレスに対し、自身の経験から「安全」「危険性がある」という評価を投票したり、コメントを書き込むことができる。これらは集計され「それぞれに投票したユーザーの割合」「IPアドレスを調べた割合」「コメントを記入した割合」として「RSA Live Connect」で公開される。
