パケット情報を機械学習し、脅威検知をいっそう高性能に

サイバー攻撃が日々巧妙化している。昨今、その対策では、豊富なデータソースを活用して事象を分析し、予兆把握や早期発見、早期対処により、被害発生や業務への影響を最小限に食い止める施策に重点が移りつつある。

が、そのために設置したネットワーク機器やセキュリティ機器が個々にアラートを発し、膨大な数のアラートの調査に時間がかかり、スキルの高い人材が不足する状況にある組織も少なくない。インテリジェントなアラート生成や情報の可視化領域を拡大して迅速に対処するためのニーズが高まっているという。

デルテクノロジーズの日本における事業会社であるデルと、EMCジャパンは今月14日、サイバー攻撃対策製品「RSA NetWitness® Platform」の バージョン11.4を発表した。新版RSA NetWitness Platformは、脅威の検知と対応で重要な点である可視化領域の拡大と検知スピードに重点が置かれ、強化されている。

「RSA NetWitness Network」で収集するパケットのメタデータを、「RSA NetWitness UEBA」で機械学習できるようになった。学習用データソースとして、従来のログとエンドポイントに加えてパケットのメタデータが加わったことで学習量が格段に増え、精度が向上して可視化領域が広がった。学習情報は異常検知モデルに適用。通常値(ベースライン)と継続的に比較して許容値を超えるものを、不正が疑われる行動として検知する。

そして、分類されたアラートを受け取る。アナリストは、担当者の専門や技術スキルを踏まえた適切で迅速な初動が可能になる。SSL通信からもマルウェアや不正なコードが含まれると疑われる不正通信を、より速く検知できる。「RSA NetWitness Platform 11.4」では、イベント検索機能が強化されていて、問題解決までの時間短縮ができるという。