EMCジャパンは10月28日、企業のあらゆるデータを活用し、サイバー攻撃の検知能力と脅威の可視性を高め、セキュリティ対策を担当するSOC(セキュリティオペレーションセンター)の機能的な運用を支援する「RSA Advanced SOCソリューション」の提供を開始したと発表した。価格は個別見積もりで、販売代理店とEMCジャパンが販売する。
RSA Advanced SOCソリューションは、ネットワーク、アプリケーション、社内に散在するPCなどのエンドポイントから集められるデータを分析し、サイバー攻撃をはじめとする脅威の予兆を迅速に検知する。これにより、SOCチームは企業に対するサイバー脅威の可視性を高め、迅速に対策を打つことで被害の最小化を図れる。
同サービスは次の4つのコンポーネントで構成されている。各コンポーネントは、それぞれ単独でも販売される。
- 「RSA Security Analytics 10.4」:ログとパケットから脅威の検出、分析を行う高度セキュリティ管理プラットフォーム
- 「RSA ECAT 4.0」:PCに侵入したマルウェアを、シグネチャーを使わずに検出するエンドポイント フォレンジック ツール
- 「RSA Archer Security Operation Management」:セキュリティインシデントの対応プロセスを標準化して効率的なSOCの運営を支援
- 「RSA Advanced Cyber Defense Practice」:SOCで利用する技術、運用プロセス、体制などのコンサルティングサービス
なお、今回のサービス提供に際し、中でも脅威の検出と分析という重要な役割を果たすSAとECATのそれぞれについて、機能の強化が行われている。
RSA Security Analytics 10.4の主な機能強化点
・可視化の向上
検索機能の強化とECATとの連携により、エンドユーザーのPCに起因するアラートを多く得られるようになり分析対象となる情報が増え、状況の把握がより容易になった。
・SIEM機能の強化
インシデント管理機能を追加し、より詳細な状況表示が可能になった。シスコシステムズが開発したトラフィック管理用技術であるトラフィック監視のプロトコル「NetFlow」と、HPのArcSightが提唱している標準ログ出力フォーマットCommon Event Format(CEF)を新たにサポート。また、収集したデータのアーカイブ用ストレージとして「EMC VNX」や他社製ストレージに対応した。
RSA ECAT 4.0の主な機能強化点
・拡張性を強化
ECATサーバは、1サーバあたり5万エンドユーザーに対応できるよう拡張され、サーバは管理者や拠点の分散状況に応じて複数台の配置が可能できるようになった。これにより、監視対象の追加、拡張が容易となる。また、エンドポイントのOSとして新たにMac OS Xをサポートし、企業で使用されるPCをほぼ漏れなく確認できる。
・エンドポイント分析の強化
未知のファイルに対する自動スキャンをサポート。侵害を受けたシステムでの、脅威があったことを示す痕跡を示す「IoC(Indicator Of Compromise)」ベースのアラート機能により、脅威レベルの評価精度が向上した。
