概要

RSA NetWitness Logsは、エンタープライズシステム内のサーバやネットワーク機器などさまざまなデバイスのログを取得することにより、複雑なシステム内のデバイスインベントリ全体が可視化されます。
IT環境全体にわたってログ データを瞬時に可視化することで、脅威の検出をシンプルにし、攻撃者の滞留時間を短縮して、レポーティングおよびコンプライアンスをサポートします。
一元化されたログ管理、パブリック クラウドとSaaSアプリケーションによって生成されたログのログモニタリング、シグネチャベースのセキュリティ ツールを回避する不審なアクティビティの特定を実現します。

特徴

RSA Netwitness LogsはSyslog、ODBC、SFTP、SCP、FTPS、SNMP、Check Point LEA、WinRMなど、幅広いプロトコルでの収集をサポートし、ログの取得時に解析、エンリッチメント、インデックス作成を行って、警告と分析を飛躍的に加速するセッション化されたメタデータを作成します。
より複雑なログについては、RSA NetWitness Logsが提供するログパーサ ツールにより新規、サポート対象外、またはカスタムのイベントソースのパーサを簡単に作成できます。

利用ケース

SIEMとしてログとNetFlowの収集、関連づけ、アーカイブ、インシデント管理、コンプライアンス対応、およびセキュリティ レポート作成を実施

RSA LIVE(脅威インテリジェンスサービス)からRSA NetWitness Logs用スターターパックをダウンロードし、ESAルールをデプロイします。
ダウンロード後、閾値も編集して容易にデプロイすることが可能です。

予めデプロイしたESAルールに合致したログを検知した場合、アラートが発報されます。また、アラートからインシデントを自動作成することも可能です。
NetwitnessではRSA NetWitness Logs用にデフォルトでいくつかのインシデントルールが用意されています。

インシデント画面ではプライオリティ/インシデントのステータス/担当者を設定できます。また、エンティティがどのように機能するかをよりわかりやすくしたグラフやトリガーとなったアラート情報も確認できます。この画面から直接investigate（調査）画面に移動が可能です。

investigate（調査）Event画面では取得したデバイスのログ/作成されたメタ情報が確認できます。

investigate（調査）Navigate画面ではシステム全体のデバイスログからメタ情報単位でフィルタリングし、ターゲットを詳細に絞ってより迅速なログフォレンジックが可能です。