デルテクノロジーズ、機械学習により脅威の検知性能がさらに向上した全方位型SIEMを発表
- 2020/04/17 10:30
- SecurityInsight
デルテクノロジーズは4月14日、サイバー攻撃対策製品「RSA NetWitness Platform 11.4」を発表した。このバージョンでは、脅威の検知と対応で重要な点である可視化領域の拡大と検知スピードに重点を置いてバージョンアップ。パケットを機械学習用のデータソースとして学習し、情報量を増やし、検索機能の向上でインシデント&レスポンス対応を効率化できるようになった。
■「RSA NetWitness Platform 11.4」の主な強化点
1.パケット情報を機械学習して広い可視性を提供
「RSA NetWitness Network」で収集するパケットのメタデータを、「RSA NetWitness UEBA」で機械学習できるように。機械学習の学習用データソースとして、従来のログとエンドポイントに加えてパケットのメタデータが加わったことで学習量が格段に増え、精度が向上して可視化領域が広がった。
2.SSL暗号化通信に潜む脅威を検知
旧バージョンでは他社のセキュリティ機器が復号した情報を用いてSSL暗号化通信の可視化を図ってきたが、新バージョンからは暗号化通信のヘッダ部分の情報を用いて学習することにより、復号装置を利用しない状況においても、データ流出の疑いなど複数の脅威を検出することができるようになった。
3.イベント検索機能の強化により問題解決までの時間短縮
イベント分析画面に検索機能が集約され、新しく下記の機能が加わった。
・検索にメタキーを使用しないフリーテキスト検索
・検索結果のソート機能とグルーピング機能
・クエリー共有が可能になるプロファイル作成機能
プロファイル作成機能を活用することにより、上級アナリストが複雑なクエリープロファイルを作成して他メンバーと共有するなど、幅広いスキルセットのアナリストに対応できる。
これらの機能を利用することによりアナリストは、より柔軟なクエリーの作成が可能となるうえ、画面を遷移することなく調査を効率的に進められ、問題解決までの時間短縮を図ることができる。