[新製品・サービス]

2016年9月14日(水)IT Leaders編集部

リスト

　「RedSocks MTD 3.5」では、新しくアラート解析画面や脅威の多い端末を特定する機能を追加し、各種UI（User Interface）を追加・強化した。「Cisco ISR4000」シリーズのルーターにも対応した。

　より長期に、過去に遡ってのフローデータ解析が可能になった。検知したアラートのうち、Thread level（脅威レベル）1のアラートは赤くハイライト表示し、メールでも通知する。ブラックリストによりURLマッチングした通信については、ホスト名とURLも表示する。フローデータは、3カ月程度遡って確認可能だ。新たに設けられた「Data Protection Officer」権限を持つ管理者は、任意の期間を設定してフローデータの出力や解析ができる。出力したフローデータは、TCPフラグの情報も含む。

　端末視点のアラート解析画面を追加した。ソース元のIPアドレスごとに、過去発生したアラートの脅威レベルやアラート数、アラートの詳細を確認できる。クライアント端末視点で脅威を可視化できるため、該当端末へピンポイントでの対策を実施可能になる。

　脅威の多い端末ランキングも追加した。アラート解析画面では、脅威の検出が多い順にソースIPをリスト表示する。IPアドレスまたはMACアドレスごとに登録できるエイリアス名（別名）を利用し、判読性を高められる。

　Cisco ISR4000シリーズのルーターへ対応した。スイッチやルーターのミラーポートからキャプチャーしたパケットを、IPFIXのフローデータに変換する「RedSocks Probe」は不要で、直接Cisco ISR4000シリーズが生成するIPFIXフローデータをRedSocks MTDが認識し、監視・解析できるようになった。

　RedSocks MTDは、RedSocksのブラックリストとヒューリスティック検知を使用し、すべてのインターネットへの通信から、リアルタイムに悪意あるサイトへの通信の検知が可能だ。ランダムに通信先のドメイン名を生成し変更する「Domain Generation Algorithm」を利用したマルウェアのC＆Cサーバーへの通信、インターネット上に公開されている公開プロキシーサーバーや世界中のハッキングされたサイトへの通信も検知できる。