脅威検知のFailsafeがNGFWと連携、企業のCSIRT運用を支援

(Stephen氏)になるという。これにより、企業内のCSIRTは積極的なデータ漏えい防止にリソースを割り当てることが容易になるとしている。

Failsafeは、対象となる端末を被害のリスクと数々の証拠をベースとした確信度によって「要注意・疑惑・感染」に分類する。一定の閾値を超えた段階で「疑惑」と設定し、証拠集めを強化して、場合によっては活動のブロックも行う。ただ、実際にFailsafeがこれらの活動を行うのではなく、連携した製品のAPI経由で実施することになる。

その後、さらに検出される問題点が多くなって十分な証拠が集まると、Failsafeは「感染」したと判断する。この時点で直ちにそのマシンを停止、対策を実施するのに十分な証拠が残るため、CSIRTが迅速に問題解決に取り組めるという。

今回リリースされたFailsafe 6.1では、パロアルトネットワークスとチェック・ポイント・ソフトウェア・テクノロジーズの次世代型ファイアウォールと連携する。

連携では、疑わしい行動をFailsafeが検知すると、デバイスの状態や検知したC&C通信内容を次世代型ファイアウォールに通知しポリシーを設定する。