「RSA NetWitness Logs 11」と「RSA NetWitness Packets 11」は、インシデントを早く正確に調査するために「ストーリーライン」を追加し「グラフィカルユーザーインターフェース」を強化した。いずれもアナリストの作業効率が高めることができることから、調査時間の短縮、インシデント対応の効率化となり、知識と経験に頼っている判断を補うことができるという。
また、クラウド環境、Amazon Web Services(AWS)およびMicrosoft Azureにも対応し、オンプレミスからクラウドまでのインフラに対するサイバー脅威に対応するとしている。
・イベントに関連する情報だけを時系列で自動的に展開する「ストーリーライン」で作業効率が向上
ストーリーラインは、RSA NetWitness Logs & Packetsがアラートをもとに、関連性が認められる通信やログを自動的に抽出し、時系列で表示する。これにより、調査にかかる時間が効率化され、インシデントへの対応速度が向上する。
例えば、疑わしい通信を検知した場合、Clientlistという名のEXCELファイルの社外送信や送信元と通信先IPアドレス、リスクの高いドメインへの繰り返しアクセス、ブラックリストとの照合、社内からのビーコニングのIPアドレスなどの関連性が認められる動作が次々と報告されるので、それぞれの事象を手作業で探し確認する手間を減らすことができる。
ストーリーラインには、RSA FirstWatchによる分析ノウハウが組み込まれており、見るべき情報を集約して単一画面に表示する。ある情報を掘り下げたい場合、クリック1回でページ遷移することなく同一画面に表示されるので、画面移動の煩わしさを省き、時間を短縮できる。
・グラフィカルな「ユーザーインターフェース」で作業をスピードアップ
ユーザーインターフェースにはノード表現を取り入れ、調査対象イベントに関連づけられる情報を自動的に表示する。これらやそれぞれのリスクの高低は、表現や色の違いで一目でわかるようになった。また、インシデントジャーナルをストーリーライン画面に固定配置しているので、複数のアナリストによる書き込みを時系列でもれなく一覧表示できる。
