【EMCジャパン】 EMCジャパン、インシデント調査を効率化する「RSA NetWitness」最新版を発売～分析に必要な情報を自動的に収集し、時系列でビジュアル化～ - グッドウェイ：金融・IT業界・フィンテック情報ポータルサイト（GoodWay Fintech）

2017/09/27	【EMCジャパン】 EMCジャパン、インシデント調査を効率化する「RSA NetWitness」最新版を発売～分析に必要な情報を自動的に収集し、時系列でビジュアル化～	\| by:ウェブ管理者

EMCジャパン株式会社（略称：EMCジャパン、本社：東京都渋谷区、代表取締役社長：大塚俊彦、URL: http://japan.emc.com/ ）は、セキュリティ対策チーム向けの標的型サイバー攻撃対策製品「RSA NetWitness Logs（アールエスエーネットウィットネスログ）」および「RSA NetWitness Packets（アールエスエーネットウィットネスパケット）」を機能アップした最新版のバージョン11を発表しました。バージョン11では、インシデントの調査効率を向上させる機能を追加し、主要なクラウドサービスに対応しました。
　　
セキュリティ対策チームは、日々発生する膨大な数のシステムアラートを追跡して重要インシデントを見い出すために、アラートの元となったセキュリティイベントを相関的に分析して調査します。しかし、その過程では手作業も多く、フォレンジックやマルウェア解析、攻撃戦術などの知識と経験に依存する部分が少なくありません。しかも、調査や対応に従事できる高度なアナリスト人材の採用は容易ではありません。チームは限られた人数とスキルで可能な限り早くインシデントに対処せざるを得ないのが現状です。
　　
このような課題に応えて「RSA NetWitness Logs 11」と「RSA NetWitness Packets 11」は、早く正確に調査するために「ストーリーライン」を追加し「グラフィカルユーザーインターフェース」を強化しました。いずれもアナリストの作業効率が高めることができることから、調査時間の短縮、インシデント対応の効率化となり、知識と経験に頼っている判断を補うことができます。
また、クラウド環境、Amazon Web Services(AWS)およびMicrosoft Azureにも対応し、オンプレミスからクラウドまでの近代インフラのサイバー脅威に対応します。
　　
●イベントに関連する情報だけを時系列で自動的に展開する「ストーリーライン」で作業効率が向上
　　
ストーリーラインは、RSA NetWitness Logs & Packetsがアラートをもとに、関連性が認められる通信やログを自動的に抽出し、時系列で表示します。これにより、調査にかかる時間が効率化され、インシデントへの対応速度が向上します。例えば、疑わしい通信を検知した場合、Clientlistという名のEXCELファイルの社外送信や送信元と通信先IPアドレス、リスクの高いドメインへの繰り返しアクセス、ブラックリストとの照合、社内からのビーコニングのIPアドレスなどの関連性が認められる動作が次々と報告されるので、各々の事象を手作業で探し確認する手間を減らせます。
　　
ストーリーラインには、RSA FirstWatch（*1）による分析ノウハウが組み込まれており、見るべき情報を集約して単一画面に表示します。ある情報を掘り下げたい場合、クリック1回でページ遷移することなく同一画面に表示されるので、画面移動の煩わしさを省き、時間を短縮できます。

●グラフィカルな「ユーザーインターフェース」で作業をスピードアップ
　　
ユーザーインターフェースにはノード表現を取り入れ、調査対象イベントに関連づけられる情報を自動的に表示します。これらやそれぞれのリスクの高低は、表現や色の違いで一目でわかるようになりました。また、インシデントジャーナルをストーリーライン画面に固定配置しているので、複数のアナリストによる書き込みを時系列でもれなく一覧表示できます。

【参考】左側上部にリスクスコア、インシデントのストーリーライン、右側は、あるエンドポイントとの関連情報をノード表現している。

原文はこちら
https://prtimes.jp/main/html/rd/p/000000004.000028045.html

17:09 | IT：一般

< 前の記事へ次の記事へ >一覧へ戻る