Dell EMC、インシデント管理を統合・自動化する機能が備わった「RSA NetWitness Platform 11.1」

　デル株式会社とEMCジャパン株式会社は29日、セキュリティ対策チーム向けの「RSA NetWitness Platform（旧称：RSA NetWitness Suite）」について、インシデント管理を自動化してSOC運用効率を向上させるオーケストレーション機能「RSA NetWitness Orchestrator」を加えた最新版となる「RSA NetWitness Platform 11.1」を発売した。

　RSA NetWitness Orchestratorは、セキュリティ機器をオーケストレーション（セキュリティ機器間でデータ連携させ対応手順を自動化）して、インシデント対応を効率化するソフトウェア。さまざまなセキュリティ機器から生成されるアラートを連携させ、定型的な対応手順に沿ってケースマネジメント（インシデントの対応と管理、報告）を自動化する。

　ケースマネジメントは、ビジュアル表現されたプレイブック（ベストプラクティスに基づいた手順書）に沿って、証拠の保全、外部の脅威情報との照合、IPやドメインの照合などを自動的に行う。独立して散在する関連情報（各セキュリティ機器で得られるシステム情報、類似のインシデント、ログやパケット、メモリーなど）やダッシュボード、レポートを一元化する。

　インシデント調査全体を自動化により効率化し、運用の負荷を低減させ、既知の攻撃は自動的に対処することで、アナリストは未知の攻撃の調査に時間を多く取ることができるとしている。また、調査のためのコラボレーションツールとして、CLIベースのチャットやDbot（チャットボット）、WarRoom（ある事案の解決に向けて関係者が集うバーチャル作戦室）も用意する。

　統合セキュリティ運用と自動化テクノロジーにより、ケースマネジメント全体にインテリジェントな自動化とオーケストレーション、コラボレーティブな調査能力が備わり、これによりアナリストは矛盾や重複のない、透過的で文書化されたインシデント調査と、脅威のハンティング能力が向上し、従来に比べて迅速な対処につながるとしている。

　また、最新版ではRSA NetWitnessユーザーに対して、ユーザーとエンティティ（ユーザー全体）を軸に脅威を検出する「RSA NetWitness UEBA Essentials」、Windowsのイベントログを収集して分析する「RSA Endpoint Insight」の2つのコンポーネントを無償で提供する。

　RSA NetWitness UEBA Essentialsは、ラテラルムーブメントや不正なログインを検出するテンプレート集。これまで運用者が自作することもできたが、このテンプレートはベストプラクティスに基づいており、カスタマイズやチューニングが不要のため、それらの開発の手間や時間を省ける。ユーザー、ネットワーク、エンドポイントからの行動プロファイリングを活用して、ユーザーとエンティティのふるまいの違いに着目して、ルールベースで検知、相関分析を行う。

　RSA NetWitness Endpoint Insightsは、エンドポイントをリアルタイムでスキャンして、収集したイベントログからエンドポイントのプロセス状況やシステムの情報、エンドユーザーのふるまい、Windowsのイベントログを収集するエンドポイント用エージェント。「RSA NetWitness Endpoint」（別売）を導入していない環境でも、マルウェアの感染有無、マルウェアの活動状態をタイムリーに把握できる。

　製品の価格は、RSA NetWitness Orchestratorソフトウェアと4ユーザーの場合、1年間の保守料込みで2352万672円（税別）。デル、EMCジャパンおよび両社のビジネスパートナーから提供する。

　今後は、米RSAが買収したFortscaleの機能をRSA NetWitnessに組み込んで機能を拡張してセキュリティ業務を近代化し、一貫性のあるインシデント管理プロセスの作成、アナリストの生産性向上を実現していく予定としている。