米Palo Alto Networksの日本法人、パロアルトネットワークスは2019年4月5日、エンドポイントやネットワークのログを集約・分析する手法によってマルウェアなどによる不正な攻撃に対処するクラウド型製品・サービス群「Cortex」を発表した。ログの分析によって不正な攻撃を検知して対処するアプリケーション「Cortex XDR」と、エンドポイント向けの標的型攻撃対策ソフトの新版「Traps 6.0」を提供開始した。価格はオープン。
パロアルトネットワークスの「Cortex」は、エンドポイントやネットワークのログを集約・分析する手法によって、マルウェアなどによる不正な攻撃に対処するクラウド型製品・サービス群である(図1)。
エンドポイントやネットワークなどからログを収集して保管するデータレイク(データベース)「Cortex Data Lake」を中心に据える。データを分析してサイバー攻撃を検知して対処するアプリケーション「Cortex XDR」も合わせて提供する。Cortex Data LakeのデータにアクセスするAPIも用意し、サードパーティ製アプリケーションも充実させる考えである。
拡大画像表示
エンドポイントやネットワークなどの複数の要素から監視データを集約して正規化することによって、個々のデータを単独で分析するだけでは見えてこない異常な状態を検知できるようにする。単独のログだけでは正常に見えるために検知が難しい異常状態を、ログの全体像から検知できるようにする。Cortex Data Lake上では、通常の状態をマシンラーニング(機械学習)によって学習し、異常を検知するモデルを自動で生成する。
拡大画像表示
Cortexでは、データを集約して正規化することで、複数のデータを関連付けて分析できるようにしている。これに対して、ただバラバラに複数のツールのログを収集するだけでは検知や対処は難しいと、パロアルトネットワークスでサイバーセキュリティ営業本部セールスマネージャを務める広瀬努氏(写真1)は指摘する。
「独立したツールが増えると、アラートが増えるだけでデータ同士の相関も分からず、攻撃の検知・対処に余計な時間がかかる」(広瀬氏)
Cortexでは、データを収集するセンサーとして、同社の次世代ファイアウォール機器やクラウドサービス、エンドポイント上で動作する標的型攻撃対策ソフトウェアの「Traps」を使う。特に今回、Trapsを新バージョンの6.0としたことで、エンドポイントにおける詳細なプロセス起動ログなどを収集できるようにした。Traps 6.0が収集したエンドポイントのログを合わせて分析することで、より攻撃を検知しやすく、対処方法を見つけやすくした。
説明会では、Cortex XDRが異常な通信を検知したアラート画面の例を示した。ある端末から存在しないIPアドレス群に対して接続をしかけて失敗していることを図示して警告している画面である。ここで該当端末をクリックすると、エンドポイントのログから、通信を発生させた原因が分かる。Outlook、Chrome、Excel、PowerShellの順にプロセスが起動し、3つのコマンドを起動していることが分かる。
対処(レスポンス)機能については、画面へのアラートの警告などの管理者への通知に加えて、自動での対処も可能である。次世代ファイアウォールの設定を動的に変更したり、検知結果をセンサーのチューニングへとフィードバックしたりできる。Trapsと連携して端末をネットワークから遮断するといった運用もできる。
Cortexの価格はオープン。Cortex Data Lakeは、保存するデータ量に応じて1Tバイト単位で年額制の料金がかかる。Cortex XDRは、分析するデータ量に応じて1Tバイト単位で年額制の料金がかかる。なお、Cortex Data LakeとCortex XDRのライセンスにはTrapsのライセンスが含まれる。Trapsの既存ユーザーは、その分割引で契約できる。
収集するセンサーデータは、自由に組み合わせられる。Trapsが収集するエンドポイントのデータだけをCortex Data Lakeに保管する場合1Tバイトにつき200台のエンドポイントをカバーできるとしている。