編集部からのお知らせ
SNS分析のトレンドまとめ
注目「Googleのクラウド事業を読み解く」

SIEM「RSA Security Analytics」に新版--C&Cとの通信を機械学習で検知

日川佳三

2016-05-10 18:46

 「標的型攻撃を受けたら侵入は防げないと割り切らなければならないが、侵入後の活動を早期に発見して迅速に対処できれば、実被害を未然に防ぐことは可能だ」――。

 EMCジャパンのRSA事業本部は5月10日、パケットやとログの相関分析で標的型攻撃を検知する、セキュリティ情報イベント管理(Security Information and Event Management:SIEM)製品の新版「RSA Security Analytics 10.6」(RSA SA)を発表、同日提供を開始した。

 RSA SAは、各種のログデータやパケットデータなどを相関分析することで社内LAN上で起こっている標的型攻撃を検知する。マルウェアや攻撃者の情報といった既知の情報に加え、いつもと異なるネットワーク上の挙動を検知するといった手法によって、潜伏期間を経て攻撃が発動した標的型攻撃を素早く発見する。これにより、適切なアクションを起こせるようになる。

 最大の特徴は、攻撃を検知するために必要なデータソースとして、ログとパケットの2つを対象にしている(図1)。製品は大きく、ログ収集装置、パケット収集装置、データ分析装置などで構成する。物理アプライアンスのほか、仮想アプライアンスの形でも提供する。単一のデータ分析装置を用いて、ログとパケットの両方を分析できる。

図1:RSA Security Analyticsは標的型攻撃の活動を迅速に検知するための手段として、各種ログデータとネットワークキャプチャデータの両方を分析する
図1:標的型攻撃の活動を迅速に検知するための手段として、各種ログデータとネットワークキャプチャデータの両方を分析する

 データをリアルタイムに分析できるように、元データ(ログとパケット)に対してメタデータとインデックスを作成する仕組みを採用した。これにより、検索性が増している。さらに、Hadoopベースのデータウェアハウス(DWH)を備えており、データを長期保存できるようにしている。

 税別価格は、ログ収集機能とデータ分析機能を組み合わせてログ分析用に機能をパッケージングした「RSA Security Analytics for Log」が、1日に収集するログが50Gバイトまでで450万500円。パケット収集機能とデータ分析機能を組み合わせてパケット分析用とした「RSA Security Analytics for Packet」が1日に収集するパケットが1Tバイトまでで450万500円。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]