2017年10月26日

脅威ハンティング支援の「InfoTrace Mark II Analyzer」を開発

株式会社ソリトンシステムズ(本社:東京都新宿区、代表:鎌田信夫)」は、標的型サイバー攻撃におけるCSIRT/SOCでの脅威ハンティングを支援する「InfoTrace Mark II Analyzer」を開発、次世代EDR(※1)製品「InfoTrace Mark II for Cyber」のログ分析エンジンとして11月上旬より販売開始します。

「InfoTrace Mark II Analyzer」は、「InfoTrace Mark II for Cyber」による検知アラートなどのイベントや豊富なセキュリティログを解析し、CSIRTやSOCにおけるセキュリティインシデントの検知・全容把握や初動対応といった脅威ハンティング(※2)を支援する製品です。「InfoTrace Mark II Analyzer」のダッシュボード画面から、脅威検知イベントの確認、検知元や脅威の活動範囲の調査、脅威を保持している端末のネットワーク隔離といった対応を行うことができるため、被害を最小限に抑える対策や新たな脅威への強化策の検討などにご活用いただけます。

「InfoTrace Mark II Analyzer」では、FireEye社やPalo Alto Networks社などのゲートウェイ型サイバーセキュリティ製品、Cylance社のエンドポイント型次世代マルウェア対策製品の検知アラートを取り込んで活用する機能も搭載しています。これにより、既にサイバーセキュリティ製品を導入している企業/団体においても、既存の対策製品を活用しつつ、脅威ハンティングのためのさらなる対策を施すことが可能となります。

製品開発においては、CSIRTやSOCを運用するユーザーのニーズを取り込むべく、サイバーセキュリティ対策で実績のあるシステムインテグレーター(SIer)の声を製品に反映させています。「InfoTrace Mark II Analyzer」では、NECソリューションイノベータ株式会社(代表取締役 執行役員社長:杉山 清、以下「NECソリューションイノベータ」)などのSIerにも協力いただき、他社製品の検知アラートの取り込みなどの機能に反映しています。

  • ※1「EDR(Endpoint Detection and Response)」とは、既存のセキュリティ製品をすり抜ける攻撃をいち早く検知し、対応するエンドポイント対策。基本的にEDRは事後対策ソリューションですが、「InfoTrace Mark II for Cyber」では、事前対策(NGAV; Next Generation AntiVirus)であるマルウェア対策機能(Zerona)を利用することもできるハイブリッドタイプです。
  • ※2 「脅威ハンティング(Threat Hunting)」とは、既存のセキュリティ対策をすり抜ける攻撃を監視し、追跡し、排除する行為。主に攻撃手法(TTP; Tactics, Techniques and Procedures)を見出す作業、分析にフォーカスされた用語ですが、広義には、脅威対策製品のアラートや、何らかのイベント(外部からの脅威情報の提供やユーザーからの申告など)を元に、事実関係や影響範囲を調査するプロセスも含まれます。

【製品特長】

1. 脅威検知イベントの確認・調査・初動対応といった一連の脅威ハンティングが可能

脅威検知イベントの確認、セキュリティログを使った調査、マルウェア感染端末のネットワーク隔離など脅威ハンティングの一連の対応を「InfoTrace Mark II Analyzer」のダッシュボード画面(図1)から行うことができます。脅威検知イベントのサマリー、イベント一覧、イベント詳細などの表示、セキュリティログを用いた分析、マルウェアなどの特定ファイルを保持している端末の検索、端末のネットワーク隔離といった対応を行えます。また、脅威検知イベントごとに脅威ハンティングの対応状況を記録することができるため、チームでの対応にも役立ちます。

図1:「InfoTrace Mark II Analyzer」のダッシュボード画面

2. 高精度のセキュリティログで検知端末の詳細状況や脅威の活動範囲を追跡調査

「InfoTrace Mark II for Cyber」で記録した高精度のセキュリティログやリスクの高い挙動(Notice)を用いるので、検知端末の詳細状況の把握や脅威の発生から現在までの活動範囲を追跡調査することができます。セキュリティログからマルウェアなどが実行する一連のプロセスをプロセスチェインとして表示(図2)し、カーネルレベルで取得した各プロセスの挙動、例えば、外部通信の送受信バイト数や、ファイル読み書きバイト数などから侵害の有無まで確認することが出来ます。マルウェアのハッシュ値やファイル名を元に、特定ファイルを保持している端末の検索が可能なため、マルウェアなどの脅威が他の端末へ活動を広げていないかを確認することができます。

図2:プロセスチェイン

3. 他社セキュリティ製品の検知イベントの取り込みで導入済みの対策も最大限有効活用

「InfoTrace Mark II for Cyber」のマルウェア対策機能(Zerona)で脅威検知したイベントを元にした調査を行えますが、それだけでなく、他社のゲートウェイ型サイバーセキュリティ製品やエンドポイント型次世代マルウェア対策製品の検知イベントを取り込んで、検知イベントのサマリーや詳細を表示することができます。これらの製品を導入済みあるいは今後導入を進める企業/団体では、「InfoTrace Mark II for Cyber」以外のセキュリティ対策をそのまま有効活用し、それぞれのセキュティ対策方針や既存システムの状況に見合った導入が可能となります。今回のリリースでは FireEye社、Palo Alto Networks社、Cylance社の製品の検知イベントに対応しています。

図3:対応製品の脅威検知イベントサマリー画面

【NECソリューションイノベータ株式会社からのエンドースメント】

NECソリューションイノベータは、株式会社ソリトンシステムズ様の「InfoTrace Mark II Analyzer」の販売開始を心より歓迎いたします。日々新たな攻撃手法が生み出される昨今、脅威ハンティングに課題を抱えるお客様は少なくありません。単体製品のアラートにフォーカスするだけではインシデントの全容を把握することが困難な状況において、本件が組織のセキュリティ対応力向上に貢献し、お客様のビジネスの安定に寄与することを確信しております。今後も一層、株式会社ソリトンシステムズ様との連携を強化し、弊社が取り扱うCylancePROTECTをはじめとしたセキュリティソリューションを通して、サイバーセキュリティに関するお客様の不安を少しでも軽減してまいりたいと考えております。

NECソリューションイノベータ株式会社 セキュリティ事業推進本部 本部長 鍬田健司

【販売価格(定価)】 Mark II Analyzer中規模モデル 398万円(税別)
【受注開始】 2017年11月上旬(出荷開始は11月下旬以降を予定)
【製品ページ】 http://www.soliton.co.jp/mark2/

【 この件に関する問合せ先 】 ITセキュリティ事業部 Tel: 03-5360-3811 netsales@soliton.co.jp

  1. TOP
  2. ニュース
  3. ニュースリリース
  4. 2017年
  5. 脅威ハンティング支援の「InfoTrace Mark II Analyzer」を開発