Dell Technologies傘下の米RSAは3月5日、米国サンフランシスコで開催した「RSA Conference 2019 USA」で、セキュリティ情報イベント管理(Security Information and Event Management:SIEM)の最新版である「RSA NetWitness Platform 11.3」を発表した。
「RSA Conference 2019 USA」のRSAブース。当たり前だが一番デカイ
NetWitnessは、ネットワークの監視と分析、エンドポイントの脅威検出、ユーザーとエンティティ(デバイスの識別名など)の行動分析、組織的な対応機能(Orchestration)を統合したソフトウェア。企業や組織のセキュリティ監視センター(Security Operation Center:SOC)運用の中核を担うものだ。
最新版では、エンドポイントの行動を監視、収集する「NetWitness Endpoint」と、ユーザーの振る舞いを分析する「NetWitness UEBA(User and Entity Behavior Analytics)」を、単一のプラットフォーム上から監視できるようになった。これにより企業は、ログやネットワークからエンドポイントまでの監視、分析を一気通貫で可視化できる。
さらに、シングルサインオン(SSO)や多要素認証の機能を提供する「RSA SecurID」とも直接統合した。SecurIDは、複数の判定要素をリアルタイムに分析し、アプリケーションへのログインの可否を動的に判断する機能を提供する。
「RSA NetWitness Platform 11.3」のダッシュボード
NetWitness Endpointは、ネットワークに接続されているすべてのエンドポイントを監視できるツール。エージェントがエンドポイントをリアルタイムでスキャンし、収集したイベントログからプロセスの稼働状況やユーザーの振る舞い、OSのイベントログを収集する。その上であらかじめ優先順位づけしたインシデントの内容に応じて、アラートを出す機能を提供する。
一方、NetWitness UEBAは、NetWitness Endpointで収集したデータに基づき、ユーザーの振る舞いを分析して不審な行為を特定する。振る舞い分析には、2018年4月に買収したFortscaleの機械学習モデルを用いる。同学習モデルは、ユーザーの行動を先読みし、異常な行動(不正操作)を自動検知する。これにより、これまでルールベースでは検知できなかった攻撃も、高精度で検出できるようになる。