RSA Security Analyticsの画面
[画像のクリックで拡大表示]
EMCジャパンRSA事業本部の「RSA Security Analytics 10.6」(以下、RSA SA)は、ログデータとパケットデータを相関分析することによって標的型サイバー攻撃を検知するセキュリティ製品である。潜伏期間を経て攻撃が発動した標的型攻撃を素早く発見する。
製品は大きく、ログ収集装置、パケット収集装置、データ分析装置などで構成する。物理アプライアンスのほか、仮想アプライアンスの形でも提供する。単一のデータ分析装置を用いて、ログとパケットの両方をまとめて分析できる。
データをリアルタイムに分析できるように、元データ(ログとパケット)に対してメタデータとインデックスを作成する仕組みを採用。さらに、HadoopベースのDWH(データウエアハウス)を備えており、データを長期保存できるようにしている。
現行版では、より迅速に標的型攻撃を発見できるように、機械学習を取り入れた。
パケット分析においては、C&Cサーバー(攻撃者がインターネット上に設置し、社内のマルウエアと通信して司令を出すサーバー)とのHTTP通信の検知に機械学習を利用する。C&Cサーバーとの通信かどうかを判定するために、複合的な評価指標に基付いてスコアリング(点数付け)を実施する。
ログ分析においては、Windowsのイベントログを分析して社内LAN上でのマルウエアの潜伏活動を検知する機能を付けた。
RSA Security Analytics 10.6の概要
| 用途と機能 | 潜伏期間を経て攻撃が発動した標的型攻撃を、ログやパケットの相関分析によって検知するシステム製品 |
|---|---|
| 特徴 | ■攻撃を検知するために必要なデータソースとして、ログ分析とパケット分析の2つを兼ね備えること ■リアルタイムに分析できるように、元データ(ログとパケット)に対してメタデータとインデックスを作成すること ■HadoopベースのDWHを備えており、データを長期保存できること |
| 提供形態 | 物理アプライアンスのほか、仮想アプライアンスでも提供 |
| 現行版の強化点 | データ分析の自動化のために機械学習を採用した。パケット分析では、C&CサーバーとのHTTP通信の検知に機械学習を利用 |
| 価格(税別) | ■ログ収集機能とデータ分析機能を組み合わせてログ分析用に機能をパッケージングした「RSA Security Analytics for Log」が、1日に収集するログが50Gバイトまでで450万500円 ■パケット収集機能とデータ分析機能を組み合わせてパケット分析用とした「RSA Security Analytics for Packet」が、1日に収集するパケットが1Tバイトまでで450万500円 |
| 発表日 | 2016年5月10日 |
| 出荷日 | 2016年5月10日 |