デルとEMCジャパンは2018年6月29日、標的型攻撃対策ソフト群の新版「RSA NetWitness Platform 11.1」(旧称はRSA NetWitness Suite)を発表、同日提供を開始した。新版では、インシデント管理を自動化してSOCの運用効率を高めるオーケストレーションソフト「RSA NetWitness Orchestrator」を追加した。価格(税別)は、RSA NetWitness Orchestratorを4ユーザーで使う場合に、1年間の保守料込みで2352万672円。
RSA NetWitness Platformは、サイバー攻撃や標的型攻撃に対策するためのソフトウェア製品群である。エンドポイントでのマルウェア感染を調べるソフトや、ネットワークパケットを分析して標的型攻撃を検知するソフト、インシデント対応プロセスの標準化などによってSOC(セキュリティオペレーションセンター)の運用を支援するソフトなどで構成する。
図1●RSA NetWitness Orchestratorのプレイブック画面の例。あるフィッシング事案に対し、ベストプラクティスに基付いた調査方法や機器に対するコマンドをプレイブックとして連続して表示し、チャート形式で次の手順を示している(出所:デルとEMCジャパン)拡大画像表示
今回の新版では、SOCの運用を効率化する新ソフトとしてRSA NetWitness Orchestratorを追加した。各種のセキュリティ機器が生成するアラートを連携させ、定型的な対応手順に沿って、インシデントケース管理(インシデントの対応・管理・報告)を自動化する。インシデント調査の自動化によって運用負荷を減らす。
GUIで表現したプレイブック(ベストプラクティスに基付いた手順書)に沿って、証拠の保全、外部の脅威情報との照合、IPやドメインの照合などを自動的に行う。独立して散在する関連情報(各セキュリティ機器で得られるシステム情報、類似のインシデント、ログやパケット、メモリーなど)やダッシュボード、レポートを一元化する。
今回の新版ではさらに、無料で利用できる2つのコンポーネントを追加した。
「RSA NetWitness UEBA Essentials」は、マルウェアの侵食活動(ラテラルムーブメント)や不正なログインを検出するためのテンプレート集である。ベストプラクティスに基づいており、カスタマイズやチューニングが不要だとしている。ユーザーとそれ以外のデバイスなど全体のふるまいの違いに着目してルールベースで検知し、相関分析を行う。
「RSA NetWitness Endpoint Insights」は、エンドポイント用のエージェントソフトである。イベントログからプロセスの状況やシステムの情報、エンドユーザーのふるまい、さらにWindowsのイベントログを収集する。エンドポイント向けのマルウェア対策ソフト「RSA NetWitness Endpoint」(別売)を導入していない環境でも、マルウェア感染の有無や、マルウェアの活動状態が分かる。
Dell EMC / RSA / SOC / インシデントレスポンス / ラテラルムーブメント / UEBA / Dell
