EMCジャパンRSA事業本部の「RSA NetWitness Logs 11」および「RSA NetWitness Packets 11」は、パケットデータやログデータの相関分析によって標的型攻撃を検知するシステム(旧称はRSA Security Analytics)。侵入済みのマルウエアが情報収集のための攻撃を開始したときに、いつもとは違うネットワークの挙動を検知する。
RSA NetWitness LogsとRSA NetWitness Packetsのデータ分析画面
(出所:EMCジャパン)
[画像のクリックで拡大表示]
特徴は、標的型攻撃を検知するためのデータソースとして、ログ分析機能とパケット分析機能を兼ね備えていること。主な用途の違いとして、RSA NetWitness Logsはログ分析に適した機能群を、RSA NetWitness Packetsはパケット分析に適した機能群をパッケージ化している。
物理アプライアンスまたは仮想アプライアンスとして提供する。仮想アプライアンスは、Amazon Web ServicesおよびMicrosoft AzureのIaaS型クラウドサービスの上でも動作する。
運用を簡素化してインシデントへの対応速度を高める機能として、特定のアラート(警告)との関連性が認められる通信やログに限って時系列で表示する、ストーリーライン機能を備える。無関係の情報をフィルタリングして表示させない工夫により、調査にかかる時間を短縮できる。
ストーリーラインでは、疑わしい通信を検知したときに、Excelファイルの社外送信、送信元と宛先IPアドレス、リスクの高いドメインへの繰り返しアクセス、ブラックリストとの照合、社内から外部の同一IPアドレス宛の定期的な通信など、関連性が認められる動作を報告する。
RSA NetWitness LogsとRSA NetWitness Packetsの概要
| 用途と機能 | ネットワークのログデータやパケットデータの相関分析によって標的型攻撃を検知するシステム |
|---|---|
| 攻撃を検知する 仕組み | 侵入済みのマルウエアが情報搾取のための攻撃を発動させた際の、いつもとは異なるネットワークの挙動を検知する |
| パッケージ | RSA NetWitness Logsはログ分析に適した機能群を、RSA NetWitness Packetsはパケット分析に適した機能群をパッケージ化した |
| 提供形態 | 物理アプライアンスまたは仮想アプライアンスとして提供する。仮想アプライアンスは、Amazon Web ServicesおよびMicrosoft Azureの上でも動作する |
| 運用支援機能 | 特定のアラート(警告)との関連性が認められる通信やログに限って時系列で表示する、ストーリーライン機能を備える。無関係の情報をフィルタリングして表示させない工夫により、調査にかかる時間を短縮できる |
| 価格(税別) | ■RSA Security Analytics Logsは、1日に収集するログ50Gバイトまでで450万500円 ■RSA Security Analytics Packetsは、1日に収集するパケット1Tバイトまでで450万500円 |
| 発表日 | 2017年9月27日 |
| 提供開始日 | 2017年10月31日 |