サイバー攻撃は年々多様化・巧妙化しており、その対策の困難さは企業のセキュリティ部門の共通課題となっています。従来のシグネチャ型IDS(侵入検知システム)は、既知の脅威と類似したパターンを持つ脅威であれば検知できますが、未知の脅威は特定できません。この課題を解決するには、世界中で確認された最新の脅威情報をリアルタイムで取得し、高度な分析を実施できるセキュリティツールを導入する必要があります。
Webroot脅威フィードとの連携による高度な相関分析
EventLog Analyzerは、多彩な機能でセキュリティ強化を支援するログ管理ツールです。機能の1つである相関分析機能は、Webrootの脅威データベースと連携しており、セキュリティ脅威の早期検知を実現します。
オープンソースの脅威フィードも利用可能ですが、更新頻度や情報取得の範囲に限界があるため、最新の脅威を網羅することが難しい場合があります。一方、Webrootなどの専門ベンダーが提供する脅威フィードは、エンドポイントに導入された世界中のセキュリティソフトから、検知済みの脅威の情報を即時で収集します。そのため、脅威情報は常に最新で信頼性の高い状態で提供されます。
また、高度な脅威フィードでは一般的に、不審なIPアドレスや危険なURLにレピュテーションスコア(脅威の危険度を示す評価値)が割り当てられています。この機能は、アクセス遮断ルールの設定や優先的に調査すべき脅威の判別に役立ち、脅威対応の迅速化と誤検知の削減につながります。
EventLog Analyzerは、外部の脅威フィードと自社環境で収集されたログ情報を突き合わせ、相関分析を行います。これにより、不審なIPアドレスが社内ネットワークにアクセスを試みた場合や、社内から危険なウェブサイトへの接続があった場合に、管理者にアラートが送信されます。
EventLog Analyzerによる脅威の可視化と優先度付け
EventLog Analyzerは、ネットワーク環境内で検知された不審なIPアドレス・URL・ドメインを確認できる専用画面を搭載しています。特定の送信元を詳しく把握したい場合は、そのセキュリティ脅威が検知された最初と最後の時間や、検知回数、レピュテーションスコアなどの重要なコンテキストデータを確認できます。
EventLog Analyzerは、内部のログと外部の脅威フィードから取得したデータを一元化し、脅威の発生源に関する詳細情報を提供します。これにより、セキュリティ脅威の早期発見や、重大度に基づいた対応の優先度付け、実行策の方針決めを支援します。