概要

Windows、Mac、Linuxホストからエンドポイント データを収集し、そのデータを使用して調査、レポート、アラート、分析を実行します。
エンドポイント動作の継続的なモニタリングとリアルタイム脅威検出により、潜在的な脅威を顕在化し、疑わしいアクティビティを浮き彫りにすることにより、セキュリティ侵害の全容を迅速に特定します。

特徴

RSA Netwitness Endpointは他のシグネチャ ベースのソリューションが完全に見逃してしまう悪意のあるアクティビティを、独自の「ライブメモリ分析」というマルウェア検出アプローチにより、ウィルス対策ソフトを補完して未知のマルウェアやセキュリティ侵害を特定します。
検出したアクティビティを自動的にフラグ付けし、優先順位付けすることで、検出、解析、対応を高速化します。

利用ケース

EDR製品として脅威の検出およびセキュリティ分析を実施

RSA LIVE(脅威インテリジェンスサービス)からRSA NetWitness Endpoint 用スターターパックをダウンロードし、相関分析エンジンであるESA（Event Stream Analytics）にルールをデプロイします。
ルールの閾値は適宜編集することが可能です。

予めデプロイしたESAルールに合致したEndpointのログを検知した場合、アラートが発報されます。また、アラートからインシデントを自動作成することも可能です。NetwitnessではNetWitness Endpoint用にデフォルトでいくつかのインシデントルールが用意されています。

インシデント画面からノードグラフによるインシデントの視覚化およびトリガーとなったアラートの詳細出力(実行ファイルパス/ファイルのHASH/SIGNER情報など)が確認できます。

A：アラートのトリガーとなったイベント画面から調査画面に移動し、実行パラメータ/プロセス名/ユーザ名/作成されたメタ情報が確認できます。
B：関連付けられたプロセス分析やエンドポイントのスキャンデータからホスト毎のプロセス/ファイル/ドライバなどの調査も可能です。