ニュース

デル テクノロジーズ、機械学習により検知性能を向上したSIEM新版「RSA NetWitness Platform 11.4」

 デル株式会社とEMCジャパン株式会社(以下、デル テクノロジーズ)は14日、サイバー攻撃対策製品「RSA NetWitness Platform 11.4」の提供を開始した。

 RSA NetWitness Platformは、エンドポイント、ログ、パケットから収集したデータを可視化・分析して、インシデント対応を支援するSIEM製品スイート。エンドポイントフォレンジックツールの「RSA NetWitness Endpoint」、ログ収集・分析ツールの「RSA NetWitness Logs」、パケット収集・分析ツールの「RSA NetWitness Network」、機械学習を用いた行動分析ツール「RSA NetWitness UEBA」、脅威インテリジェントベースでセキュリティ運用の自動化と効率化を支援する「RSA NetWitness Orchestrator」から構成される。

 最新版となるRSA NetWitness Platform 11.4では、パケットを機械学習用のデータソースとして学習できるようになった。RSA NetWitness Networkで収集するパケットのメタデータを、RSA NetWitness UEBAで機械学習できるようになり、機械学習の学習用データソースとして従来のログとエンドポイントに加えてパケットのメタデータが加わったことで、学習量が増え、精度が向上し、可視化領域が広がった。

 SSL暗号化通信の可視化についても機能を強化。RSA NetWitnessの旧バージョンでは、他社のセキュリティ機器が復号した情報を用いてSSL暗号化通信の可視化を図ってきたが、新バージョンからは、暗号化通信のヘッダ部分の情報を用いて学習することにより、復号装置を利用しない状況においても、データ流出の疑いなど複数の脅威を検出することができるようになった。

 事象を調査するアナリストのための検索機能も強化し、イベント分析画面に検索機能を集約するとともに、検索にメタキーを使用しないフリーテキスト検索や、検索結果のソート機能とグルーピング機能、クエリー共有が可能になるプロファイル作成機能などの機能を追加した。これらの機能を利用することにより、アナリストはより柔軟なクエリーの作成が可能となるとともに、画面を遷移することなく調査を効率的に進められ、問題解決までの時間短縮を図れるとしている。

 RSA NetWitness Platform 11.4の価格はユーザー数、ライセンス体系(買取/年間ライセンス)、提供形態により異なり、詳細は要問い合わせ。

イベント検索機能の強化例。検索時の補完機能として、メタキーやメタ値の補完機能、AND条件やOR条件の自動設定と切り替え、カッコ()の指定が容易に行える