[新製品・サービス]

標的型攻撃の出口対策製品の最新版で長期間のフローデータ確認を可能に─ネットワールド

2016年9月14日(水)IT Leaders編集部

ITインフラ構築などを手がけるネットワールドは2016年9月13日、蘭RedSocksの、標的型攻撃の出口対策製品の最新版「RedSocks Malicious Threat Detection(MTD) 3.5」の提供を開始した。長期間を遡ってフローデータを確認できるようにした。

 「RedSocks MTD 3.5」では、新しくアラート解析画面や脅威の多い端末を特定する機能を追加し、各種UI(User Interface)を追加・強化した。「Cisco ISR4000」シリーズのルーターにも対応した。

 より長期に、過去に遡ってのフローデータ解析が可能になった。検知したアラートのうち、Thread level(脅威レベル)1のアラートは赤くハイライト表示し、メールでも通知する。ブラックリストによりURLマッチングした通信については、ホスト名とURLも表示する。フローデータは、3カ月程度遡って確認可能だ。新たに設けられた「Data Protection Officer」権限を持つ管理者は、任意の期間を設定してフローデータの出力や解析ができる。出力したフローデータは、TCPフラグの情報も含む。

 端末視点のアラート解析画面を追加した。ソース元のIPアドレスごとに、過去発生したアラートの脅威レベルやアラート数、アラートの詳細を確認できる。クライアント端末視点で脅威を可視化できるため、該当端末へピンポイントでの対策を実施可能になる。

 脅威の多い端末ランキングも追加した。アラート解析画面では、脅威の検出が多い順にソースIPをリスト表示する。IPアドレスまたはMACアドレスごとに登録できるエイリアス名(別名)を利用し、判読性を高められる。

 Cisco ISR4000シリーズのルーターへ対応した。スイッチやルーターのミラーポートからキャプチャーしたパケットを、IPFIXのフローデータに変換する「RedSocks Probe」は不要で、直接Cisco ISR4000シリーズが生成するIPFIXフローデータをRedSocks MTDが認識し、監視・解析できるようになった。

 RedSocks MTDは、RedSocksのブラックリストとヒューリスティック検知を使用し、すべてのインターネットへの通信から、リアルタイムに悪意あるサイトへの通信の検知が可能だ。ランダムに通信先のドメイン名を生成し変更する「Domain Generation Algorithm」を利用したマルウェアのC&Cサーバーへの通信、インターネット上に公開されている公開プロキシーサーバーや世界中のハッキングされたサイトへの通信も検知できる。

関連記事

標的型攻撃の出口対策製品の最新版で長期間のフローデータ確認を可能に─ネットワールドITインフラ構築などを手がけるネットワールドは2016年9月13日、蘭RedSocksの、標的型攻撃の出口対策製品の最新版「RedSocks Malicious Threat Detection(MTD) 3.5」の提供を開始した。長期間を遡ってフローデータを確認できるようにした。

PAGE TOP