correlation log analysis (cla) - ntt communications...セキュリティ...
TRANSCRIPT
セキュリティ
企業のICT環境への巧妙な手法を用いた不正アクセスなど未知のセキュリティ脅威をリアルタイムに検知する
Correlation Log Analysis (CLA)
セキュリティオペレーションセンター
SIEM
ブラックリストとの自動照合
NTT Com独自ブラックリスト
セキュリティ運用基盤
独自分析ロジックによる脅威抽出
詳細分析
検知
リスク分析官
お客さま拠点
インターネットGW
クライアントPC 重要情報・機密データ
セキュリティ機器
IPSFW アンチウイルス
非セキュリティ機器
Proxy DNS
悪性サイト
攻撃者
未知の脅威は通過
既知の脅威を検知
ログ収集
過去に特定されている攻撃やマルウェア(= )はIPSやウイルス対策製品で検知可能
昨今の巧妙化する攻撃では、検知されない新しい攻撃手法やマルウェア(= )が使用されるため、新たな対策が必要
Proxyや DNS などの非セキュリティ機器のログも監視・調査対象とする独自分析ロジックにて、未知の脅威を検知
既知の脅威
未知の脅威
◆
◆
Copyright © 2016 NTT Communications
お問い合わせ先
ホームページ www.ntt.com/business/services/security/security-management/wideangle.html2016.09A1207092メールアドレス [email protected]
●記載内容は2016年9月現在のものです。●表記のサービス内容は予告なく変更することがありますので、お申し込み時にご確認ください。●記載されている会社名や製品名は、各社の商標または登録商標です。
NTT Comはここが違う!
段階を踏み時間をかけて行われる攻撃を攻撃パターン抽出や長時間監視で見逃しません。(800以上の分析ロジック(2016年9月末時点))
NTT研究所のハニーポットを活用した独自ブラックリストにより、悪性サイトとの通信有無を検知します。
リスク分析官の最新の知見を定期的に分析ロジックに反映させることで、日々巧妙化する攻撃手法を効率的に自動検出でき、リスク分析官個々人のノウハウをGROC全体で共有、安定した分析レベルを実現します。
セキュリティ運用基盤の自動検出とリスク分析官オリエンティッドの詳細分析機能(PCAPデータの呼び出しなど)で迅速な詳細分析報告を実施します。(リスク分析官がインシデントと判断してから目標15分)
グローバル規模の、他の国や地域での流行や新手法の知見を分析に活用し、脅威の見逃しを低減します。
セキュリティ運用基盤および分析ロジックは独自開発であり、市販されていないため、分析ロジックの解析や検出回避行動を防止できます。
(1) IPSのシグネチャにて、通信 ① ② ③ を検知 (それぞれ単独では、誤検知と看過されるアラート )
(2) SIEMの分析ロジックにより、 の組み合わせを「攻撃 (キルチェーン)」であると判定( )
(3) (2)をトリガーにリスク分析官が分析を開始。Proxyログから 生成されたアラート( )をチェックし、PCAPデータを解析、 ファイルダウンロード ③ を確認し、攻撃を確信
(4) (3)を実施中にProxyログ内のアクセス先URLとNTT Com 独自ブラックリストとの照合をSIEMが行い、C&Cサーバーとの 接続 ③ を検出( )
(5) (3)および(4)の結果を踏まえて、リスク分析官が攻撃の全貌 を把握し、対処方法をお客さまに提案
ドライブ・バイ・ダウンロード攻撃を「セキュリティ機器:IPS」および「非セキュリティ機器:Proxy」のログを相関分析(CLA:Correlation Log Analysis)することで検出した事例
SIEM
セキュリティオペレーションセンター
侵害された一般のWebサイト
脆弱性調査サイト
攻撃サイト
マルウェア配布サイト
C&Cサーバー
ログ/アラート
ログ収集
お客さま拠点
クライアントPC
Proxy
IPS
FW
①~④:通信の順番
①② ③ ④
❶❷❸
❶❷❸
❹
❹
❺
❻
❻
リスク分析官
詳細分析
分析ロジックによる脅威抽出
NTT Com独自ブラックリスト
ブラックリストとの自動照合
リダイレクト
《未知の脅威の検知事例》
1
5
23