製品データシート Enterprise Immune SystemとThreat Visualizer 製品概要 Enterprise Immune System はネットワーク境界およびエンド ポイント防御をすり抜けて侵入する新しい種類のサイバー攻 撃を検出し、調査するためのネットワーク ソリューションです。 高度な数学を適用してエンタープライズ内の動作をモデル化 することにより、社内のコンピューターおよびユーザーの活 主要な機能 • • • 動を監視し、異常を検知します。Enterprise Immune System の数学的アプローチはシグネチャやルールを必要としないた め、これまでに知られていない新たな unknown unknown • 攻撃を検知することが可能です。 • Darktrace はネットワーク センターから生のネットワークトラ • フィックのパッシブ フィードを受け取るアプライアンスとして 新しい独自のサイバー攻撃にも対応した高度な 脅威検知 洗練された機械学習と数学に基づく シグネチャを必要としないアプローチにより、 こ れまでに出現したことのない新たな攻撃や標的 型攻撃の検知が可能 リアルタイムに機能し脅威の出現と同時に警告 を提供 強力な可視化プラットフォームにより脅威を直感 的に分析、調査することが可能 ネットワーク アプライアンスは1時間以内にイン フラ内に受動的にインストール可能 提供されます。アプライアンスを接続すると、様々な数学的 アプローチを用いて社内の各個別ユーザーおよびマシンの 多数の動作モデルの作成を即座に開始します。Enterprise Immune System の自己学習型数学モデルは導入初日から機 能し、ネットワーク上の異常動作検知を始めます。学習は継 Threat Visualizer は、データフローや関係性に対するネット 続的に行われ、組織の変化に応じて常に更新されます。 ワーク全体にわたるリアルタイムおよび履歴の任意の時点で のインテリジェンスに基づいた考察をユーザーに提供します ネットワーク上のあらゆる個人およびデバイスの強力な 生活 異常が発生すると、Visualizer は異常発生までおよび発生中 パターン モデルを作成することにより、Darktrace は動作の のイベントを表示し、疑わしい一連のイベントの発生の様子 ほんのわずかな変化、たとえばユーザーによる使い方、マシ を再生することができます。 ンのデータ アクセス パターン、または通信の傾向の変化など を検知することができます。これにより、ユーザーの認証情 Visualizer は対話型ツールで、分析担当者はレイヤを深く掘 報不正取得、デバイスの感染、あるいは不満を抱いたまた り下げての調査や複雑なクエリーの実行が可能です。また、 は不注意な従業員の行為など、脅威となる可能性のあるイベ このプラットフォームでは分析担当者による詳細なレベルで ントが多数見つかるかもしれません。 の調査をサポートしており、関連する生のネットワーク パケッ トをダウンロードして任意のツール(Wireshark 等)で詳細 ネットワーク偵察や走査、見慣れないインターネット ドメイン なフォレンジック分析を行うことが可能です。 からの予期せぬダウンロード、イントラネットやファイルシス テムのクローン化、新しいデバイスや場所、通常と違うアプ リケーションやプロトコルからの機密性データへのログイン、 または情報のアップロードのパターンの変化などはすべて数 学的モデリングを通じて検出可能です。これらの活動が通常 の動作から著しく逸脱している場合には、調査に値するかも しれません。 Threat Visualizer Threat Visualizer は Enterprise Immune System を補完する 視覚的な対話型 3D インターフェイスで、プラットフォームの 基盤である高度な数学を理解する必要なく、分析担当者や経 営者が直感的にネットワークの動作を可視化し異常を調査す ることができます。 相補的なテクノロジー Enterpise Immune System は既存のセキュリティ インフラお よびアプローチを補完するよう設計されています。適切に設 定されたネットワーク境界防御およびホスト防御は非常に重 要ですが、外部、内部を問わず意思を持った攻撃者に対して は限定的な効果しかありません。シグネチャを必要としない 監視および検知機能を追加することにより、新しい攻撃や御 社を狙った標的型の攻撃に対しても、何に注目すべきか事前 Darktrace のポリシーおよびコンプライアンス モ ジュール Enterprise Immune System はポリシーおよびコンプライアン スの監視および徹底のための統合されたモジュールも活用し ています。このモジュールではお客様固有の検出条件(例: Dropbox アクセス禁止、機密 IT を持って特定の国に移動し ない、社内 DNS サービスのみ、等)に合わせた追加のコン に知らなくとも対応することが可能になります。 プライアンス ポリシーの定義がサポートされています。 Enterprise Immune System からの出力は既存の市販または データの秘匿性 特注のセキュリティ ダッシュボードあるいは SIEM に対して、 任意の仕組み(syslog、SNMP、 コネクタ、 ファイル、データベー ス、API)を使って転送することができます。 社のデータセンター内で行います。事前に特定の合意がない 限り、データをクラウドに送信したり、Darktrace の従業員が データにアクセスしたりすることはありません。お客様のデー 数学的基盤 この新しい数学的手法の鍵は、データ内の意味ある関係性を 特定することのみならず、そのような推論にかかわる不確実 性を定量化することにあります。この不確実性を理解すること により、多数の結果をベイズ確率解析という一貫したフレー ムワークに基づいてまとめることが可能となります。 Darktrace 製品の中心となるのは、革新的な再帰的ベイズ推 定(Recursive Bayesian Estimation)を含む様々な数学的ア プローチを駆使した 4 つの数学エンジンです。最初の 3 つ のエンジンは各個人、彼らの使用するデバイスおよび彼らが 属するエンタープライズ全体の動作モデルを生成します。こ れら 3 つのエンジンの 1 つまたはそれ以上で通常と異なる動 作が検出されると、警告の候補が「包括的」エンジンである Threat Classifier に送信されます。Threat Classifier は全時間 にわたる全モデルからの出力を見渡し、偽陽性をフィルタに より排除し、かすかな兆候であっても調査に値する純粋な異 常を報告します。Threat Classifier が行う複数のベイズ理論 アプローチの独自の組み合わせによる関連付け、調整により、 Darktrace はエンタープライズ規模での異常検出を非常に高 精度に行うことができます。 Enterprise Immune System はすべての処理および出力を御 タおよびインテリジェンスの出力結果がお客様意外のユー ザー コミュニティで共有されることもありません。 インストールと設定 完全なパケットの把握 Enterprise Immune System は以下のいずれかの方法により 収集された生のネットワークトラフィックを処理します: • • • 既存のネットワーク機器に存在するポート インライン ネットワーク タップを挿入 / 再利用 インストール、設定、サポートが簡単 • • • • アプライアンス 1 台はラックスペース 2U サイズ 1 時間以内にインストール、設定、テスト可能 すべてのユーザー インターフェイスには Web ブラウザか らアクセス サポートはほとんど必要なし 拡張が簡単 1 台の Darktrace アプライアンスに複数のネットワークトラ フィックを入力することが可能で、ピークトラフィック量に応 じて数万台規模までの機器をカバーすることができます。複 数台の Darktrace アプライアンスをクラスター化し地理的に分 散したネットワークをカバーすることも可能です。これにより ネットワーク内で大量のデータを移動する必要がありません。 DARKTRACE ENTERPRISE IMMUNE SYSTEM
© Copyright 2024 ExpyDoc