NIKSUN NetDetectorLiveは、高速なフォレンジック検索、セッションの再構築、セキュリティ違反のリアルタイム検知を独自に実現したネットワークフォレンジックアプライアンスです。NIKSUNの次世代技術をベースに開発されたNetDetectorLiveは、IPネットワーク上を流れる全てのデータを監視し、DPI技術を用いて、ネットワークを通過する全てのアプリケーション、セッション、コンテンツを正確に認識、分類、分析します。Eメール、IM、FTP、HTTP、DNSを含むすべてのコンテンツについて、リアルタイムにメタデータが作成されます。このメタデータはすぐに利用可能となり、迅速な検索と調査が可能です。また、メタデータはデータのレポジトリであるNIKSUN Network Knowledge Warehouse (NKW)に長期間保存することができます。NetDetectorLiveは、テラバイト級のデータを検索し、他の過去に遡るフォレンジック分析ツールと比較して、わずかな時間で結果を返すことができるため、迅速なフォレンジック調査とリスク軽減に不可欠です。NetDetectorLiveは、メタデータの内容に基づいて不審なトラフィックを警告し、ポリシー違反、データ流出、マルウェア、侵害の兆候(IOC)、サイバー攻撃などを即座に通知します。

ルールベースのコンテンツアラート

NetDetectorLiveには、広範囲の潜在的なポリシー違反や違反の前兆となる活動を検出して警告するように設計された、堅牢でコンテンツベースのルールの広範なセットがあらかじめパッケージされています。同様のルールセットは、論理的なカテゴリに分類されています。例えば、ハッカーの研究、ステガノグラフィー、パスワードクラッキングソフトウェアのダウンロードに関するユーザーの活動を定義するルールは、論理的には “インサイダーの脅威 “に分類されます。ネットワーク内のこのような不審な活動を認識することで、組織はデータ漏洩の発生を防ぐための適切な対策を講じることができます。

さらに重要なのは、ユーザーが自分でルールを定義して分類できる柔軟性です。ルールは、キーワード、ファイル名、ファイルタイプ、またはメールやチャットアプリケーションの特定のフィールド値に基づいて定義できます。また、ファイルやURLの内容を正確に照合することも可能です。機密文書やファイルをNetDetectorLiveにアップロードすることで、アップロードされた文書に対してネットワークフローの正確なコンテンツマッチングを行うことができ、さらにファイルに対しても機密情報の漏洩やその他のコンプライアンス違反を検出することができます。例えば、confidential.doc、proprietary.pdfなどのファイルをアップロードし、これらの文書が電子メールの添付ファイルとして表示された場合、警告を発することができます。

イベント分析

違反を検出すると、NetDetectorLiveは直ちにイベントを生成します。イベントは実際のセッションに関連付けられており、ユーザーはシームレスに複数の分析手順を実行して、関連するセッション、アプリケーション、さらにはこれらのイベントに関連するパケットを調べることができます。これにより、セキュリティやポリシー違反の背景にある理由を理解するための明確な道筋が提供されます。関与したユーザ、流出した情報、ネットワークからの流出の有無、イベントが悪意のあるものかどうかなど、イベントに関連するすべての情報が利用可能であり、完全で否定できない事象内容を提供します。

アプリケーション再構築

NetDetectorLiveは、ネットワークデータを監視しながら、アプリケーションデータをリアルタイムで再構築・保存するため、非常に高速なフォレンジックが可能です。ユーザーは膨大な量のネットワークトラフィックから、わずか数秒で興味のある情報を抽出することができます。ウェブ、チャット、Eメール、FTP、その他のTCP/IPセッションが正確に再現され、セキュリティ管理者は、いつ、何が、誰が、どのように侵害が発生したのかを確認することができます。コンプライアンスに違反したセッションはそのまま再現され、ポリシー違反の証拠として提示することができます。過去に遡った分析手法を用いて、関心のある情報について詳細な分析を行うことができます。

機能とメリット

  • リアルタイムでのインバウンドおよびアウトバウンドのアプリケーション監視と詳細なアプリケーションコンテンツの検索。
  • 異なるIOC、規制、社内ポリシー違反をリアルタイムに警告。
  • アプリケーションセッションやポリシー違反を監査や証拠として再構築。
  • 統合されたシグネチャとアノーマリベースの検知機能。
  • 現在および過去のユーザーアクティビティを検索するためのすべての通信セッションのキャプチャと保存。
  • レイヤ2~7(IP、TCP、UDP、HTTP、DNS、電子メール、FTP、チャット、IRC、SSH、RADIUS、QUICなど)のリアルタイムメタデータ生成。
  • 役割を基にしたアクセス制御(RBAC:Role-based Access Control)
  • ウェブベースの直感的なユーザーインターフェースを備えたプラグアンドプレイデバイス