RSAがSIEM製品に新機能の「リアルタイム分析」 - 機械学習を活用

と語った。

最新版となる「RSA Security Analytics 10.6」は、前バージョンよりも相関分析対象となるコンテキストが拡大した。ネットワークからエンドポイントまでのデータの流れ可視化し、疑わしいプロセスと、それに対する分析をリアルタイムで行うという。

新たに搭載された「リアルタイム行動分析エンジン」は、パケットレベルでのフローの可視化と、独自に開発した機械学習技術を搭載した。複合的な分析でパケットの異常な振る舞いを特定し、ダッシュボードに脅威のスコアを0～100段階で表示する。

例えば、BeaconのドメインやC&C(コマンド&コントロール)サーバとの通信など、セキュリティ脅威に結びつく振る舞いをリアルタイムに検知/分析し、そのリスク度合いをリスクスコアとして数値化。担当者は、そのリスクスコアを見ながら対策の優先順位を付けることができる。

また、Windows OSのログデータ改ざんとOSへのログイン方法が変更されていた場合には、管理者権限の乗っ取りが考えられる。こうした点在的な攻撃を、機械学習機能で複合的に分析することで、迅速に攻撃を特定し、対策を講じることが可能だという。