侵入された後のサイバー攻撃の検知とフォレンジック調査

これまで多くの組織がサイバー攻撃に対抗するための防御中心のソリューションを導入してきました。しかしながら昨今の標的型攻撃をはじめとする巧妙なサイバー攻撃を完全に防ぐことは困難になりつつあります。これから必要とされるのは、感染した後、侵入された後、早い段階でその兆候を検知し、過去にさかのぼって原因と被害の全体像を把握することです。

RSA NetWitness Platform はログ、ネットワークのフルパケット、ネットフローをリアルタイムに取得し、ネットワーク上で起きた事象と流れたデータを完全に可視化します。セキュリティアナリストは、NetWitnessの持つ柔軟なアラート機能、機械学習エンジンを使った振る舞い分析、最新の脅威インテリジェンスを使いながら可視化されたデータを多角的に分析し、不正な通信を検出することができます。

製品の特長

データの高速な可視化とリアルタイムな調査分析

大量のパケット、ログのデータをキャプチャすると同時に調査分析に最適なデータを生成し、可視化します。可視化されたメタデータとインデックスを利用することでスピーディーなドリルダウン分析と絞込みが可能です。ログ調査にかかっていた膨大な時間を大幅に減らしつつ、攻撃の全体像を迅速に把握することができます。

相関ルール＆アラート

ログ、パケット、ネットフローの様々なメタデータを相関付けた検知ルールです。RSAから提供されるルールテンプレート、またはルールビルダーで作ったカスタムルールを利用して柔軟な検知が可能です。

振る舞いを対象とした分析

データサイエンスに基づいた機械学習機能によりリアルタイムに振る舞いを分析、検知します。攻撃に関する高度な知見を必要とせず、シグネチャーやルールの作成、アナリストによるチューニングの負担を軽減します。

脅威インテリジェンス（RSA Live）

RSAの保有する脅威に関する情報と外部ソースを合わせてインテリジェンスとして提供します。NetWitnessが生成したログやパケットのメタデータをインテリジェンスと照合して追加のメタデータを生成します。また、RSA Liveを使って相関ルールやレポートのテンプレート、パーサーが追加提供されます。

脅威インテリジェンス共有プラットフォーム（RSA Live Connect）

RSA Live Connectは、RSAのコミュニティで集められたインテリジェンスをクラウド上で共有する仕組みです。攻撃や被害調査の過程で、NetWitnessから直接これらの情報にリンクしてより広範な調査が可能です。