EMCジャパンのRSA事業本部は2017年9月27日、ネットワークパケットやログデータの相関分析によって標的型攻撃を検知するシステム製品の新版「RSA NetWitness Logs 11」および「RSA NetWitness Packets 11」を発表した。新版では、GUIを強化して効率よく調査できるようにしたほか、クラウド上でも動作するようにした。
画面1●RSA NetWitness LogsとRSA NetWitness Packetsのデータ分析画面(出所:EMCジャパン) 拡大画像表示
RSA NetWitness LogsとRSA NetWitness Packetsは、ログデータやパケットデーなど各種データの相関分析によって、社内LAN上で起こっている標的型サイバー攻撃を検知するシステム製品である(旧称はRSA Security Analytics)。社内LANに侵入済みのマルウェアが情報搾取のための攻撃を発動させた場合のように、いつもとは異なるネットワークの挙動を検知する。
最大の特徴は、標的型攻撃を検知するために必要なデータソースとして、ログ分析機能とパケット分析機能の2つを兼ね備えていることである。主な用途の違いとして、RSA NetWitness Logsはログ分析用、RSA NetWitness Packetsはパケット分析用に機能をパッケージングしている。
製品は、物理アプライアンスのほか、仮想アプライアンスの形でも提供する。今回の新版では、クラウド環境(Amazon Web ServicesおよびMicrosoft Azure)上でも動作するようにした。
新版で強化した機能の1つが「ストーリーライン」機能である。特定のアラート(警告)との関連性が認められる通信やログだけを自動的に抽出し、時系列で表示する。これにより、調査にかかる時間が短縮され、インシデントへの対応速度が向上する。新版ではまた、GUIの表現も強化し、ノード表現を取り入れた。調査対象のイベントに関連付いた情報を自動的に表示できる。
ストーリーラインの例として、疑わしい通信を検知した場合に、EXCELファイルの社外送信、送信元とあて先IPアドレス、リスクの高いドメインへの繰り返しアクセス、ブラックリストとの照合、社内から外部の同一IPアドレスあての定期的な通信といった、関連性が認められる動作が次々と報告される。これにより、各々の事象を手作業で探して確認する手間を減らせる。
