EMCジャパンRSA事業本部の「RSA NetWitness Logs 11」および「RSA NetWitness Packets 11」は、パケットデータやログデータの相関分析によって標的型攻撃を検知するシステム(旧称はRSA Security Analytics)。侵入済みのマルウエアが情報収集のための攻撃を開始したときに、いつもとは違うネットワークの挙動を検知する。

RSA NetWitness LogsとRSA NetWitness Packetsのデータ分析画面
(出所:EMCジャパン)
[画像のクリックで拡大表示]

 特徴は、標的型攻撃を検知するためのデータソースとして、ログ分析機能とパケット分析機能を兼ね備えていること。主な用途の違いとして、RSA NetWitness Logsはログ分析に適した機能群を、RSA NetWitness Packetsはパケット分析に適した機能群をパッケージ化している。

 物理アプライアンスまたは仮想アプライアンスとして提供する。仮想アプライアンスは、Amazon Web ServicesおよびMicrosoft AzureのIaaS型クラウドサービスの上でも動作する。

 運用を簡素化してインシデントへの対応速度を高める機能として、特定のアラート(警告)との関連性が認められる通信やログに限って時系列で表示する、ストーリーライン機能を備える。無関係の情報をフィルタリングして表示させない工夫により、調査にかかる時間を短縮できる。

 ストーリーラインでは、疑わしい通信を検知したときに、Excelファイルの社外送信、送信元と宛先IPアドレス、リスクの高いドメインへの繰り返しアクセス、ブラックリストとの照合、社内から外部の同一IPアドレス宛の定期的な通信など、関連性が認められる動作を報告する。

RSA NetWitness LogsとRSA NetWitness Packetsの概要
用途と機能ネットワークのログデータやパケットデータの相関分析によって標的型攻撃を検知するシステム
攻撃を検知する
仕組み
侵入済みのマルウエアが情報搾取のための攻撃を発動させた際の、いつもとは異なるネットワークの挙動を検知する
パッケージRSA NetWitness Logsはログ分析に適した機能群を、RSA NetWitness Packetsはパケット分析に適した機能群をパッケージ化した
提供形態物理アプライアンスまたは仮想アプライアンスとして提供する。仮想アプライアンスは、Amazon Web ServicesおよびMicrosoft Azureの上でも動作する
運用支援機能特定のアラート(警告)との関連性が認められる通信やログに限って時系列で表示する、ストーリーライン機能を備える。無関係の情報をフィルタリングして表示させない工夫により、調査にかかる時間を短縮できる
価格(税別)■RSA Security Analytics Logsは、1日に収集するログ50Gバイトまでで450万500円
■RSA Security Analytics Packetsは、1日に収集するパケット1Tバイトまでで450万500円
発表日2017年9月27日
提供開始日2017年10月31日