デル テクノロジーズは4月14日、サイバー攻撃対策製品「RSA NetWitness Platform 11.4」を発表した。同バージョンは、脅威の検知と対応で重要な点である可視化領域の拡大と検知スピードに重点を置いてバージョンアップしている。

「RSA NetWitness Platform」は、エンドポイント、ログ、パケットから収取したデータを可視化・分析してインシデント対応を支援するSIEM製品スイート。 

エンドポイントフォレンジックツールの「RSA NetWitness Endpoint」、ログ収集・分析ツールの「RSA NetWitness Logs」、パケット収集・分析ツールの「RSA NetWitness Network」、機械学習を用いた行動分析ツール「RSA NetWitness UEBA」、脅威インテリジェントベースでセキュリティ運用の自動化と効率化を支援する「RSA NetWitness Orchestrator」から構成される。

例えば、「RSA NetWitness Network」で収集するパケットのメタデータを「RSA NetWitness UEBA」で機械学習できるようになった。機械学習の学習用データソースとして、従来のログとエンドポイントに加えてパケットのメタデータが加わったことで学習量が増え、精度が向上して可視化領域が広がった。

また、「RSA NetWitness」の旧バージョンでは、他社のセキュリティ機器が復号した情報を用いてSSL暗号化通信の可視化を図ってきた。これに対し、新バージョンからは、暗号化通信のヘッダ部分の情報を用いて学習することにより、復号装置を利用しない状況においても、データ流出の疑いなど複数の脅威を検出することが可能になった。

そのほか、新バージョンでは、イベント分析画面に検索機能が集約され、「検索にメタキーを使用しないフリーテキスト検索」「検索結果のソート機能とグルーピング機能」「クエリー共有が可能になるプロファイル作成機能」が追加された。

検索機能が強化されたイベント分析画面

提供形態は、ハードウェアアプライアンス、仮想版、クラウド版の3種類が用意されている。