EMCジャパンは12月6日、標的型サイバー攻撃対策スイート製品「RSA NetWitness Suite」のサイバー脅威インテリジェンス共有プラットフォームに「RSA Live Connect」を追加したと発表した。
NetWitness Suiteは、サーバ/ネットワーク向けの「RSA NetWitness Logs and Packets」、エンドポイント向けの「RSA NetWitness Endpoint」、分析・管理を行う「RSA NetWitness SecOps Manger」、サイバー脅威インテリジェンスを共有するためのクラウドベースのプラットフォーム「RSA Live」から構成される。
「RSA Live」では、RSAのサイバーセキュリティ対策専門チームが収集した疑わしいIPアドレスなどのデータフィードや脅威に関する情報、メタ生成をはじめとする各種ルールやレポートが集積されている。NetWitnessのユーザーは、これらを自社のNetWitnessに取り込むことができる。
今回、「RSA Live」に「RSA Live Connect」が追加された。「RSA Live Connect」は、脅威インテリジェンス会社の脅威情報とコミュニティによる脅威の評価の活用を実現する。
RSA事業本部 マーケティング部 部長の水村明博氏は、「Live Connectは、サイバー脅威情報をコミュニティで共有するためのプラットフォーム。RSAのクラウドサービスをハブとして、RSAが提供するデータ、脅威インテリジェンス会社の脅威情報を顧客の環境に取り込むことができる」と説明した。
「Live Connect」では、脅威インテリジェンスサービス会社である米ThreatConnect社の「Threat Intelligece Platform」、米Soltra社の「Soltra Edge」、米Recorded Future社の「Cyber Threat Intelligence」の脅威情報を取り込むことができる。
具体的には、これら3社と契約したうえで、提供されるコンテンツ(IPアドレス、DNS、オーナー、URL、リスク判定、脅威タイプ、関連情報など)を、設定した時間単位(毎時、毎日、毎週)で指定フォーマット(CSV、XML、STIX)で取り込むことができる。
また、コミュニティによる脅威の評価を活用するための機能として「Threat Insights」と「Analyst Behaviors」を提供している。
「Threat Insights」では、不審なIPアドレスに対し評価が行われ、ハイライトされているIPアドレスをクリックすると、リスクがあると見なした理由、「リスクがある」と評価したユーザーの割合を確認できるほか、「安全」か「危険」かを評価することができる。「リスクに対応するかどうかの指標として、コミュニティメンバーの評価を参考にできる。米国では好評な機能」と水村氏。
「Analyst Behaviors」では、アナリストが調査している段階の情報を取得できる。