パケットフォレンジックやパケットレコーディングは、詳しい方ならご存知のように、膨大な情報に目を通し、応答を待ち、長時間を費やします。Smart PCAPは、即座に、意味のある、ニーズにきめ細かく対応した情報の取得を実現します!
Smart PCAPソリューションは、ネットワーク問題を診断し、解決するための、よりインテリジェントな方法を提供します。OpenText Network Detection and Response (NDR) は、Smart PCAP の統合により、セキュリティ・チームが数時間ではなく数分で対策を作成し、テストできる力を提供します。同時に、セキュリティに対する過去、現在、未来の潜在的な脅威を比較するためのルックバック・ウィンドウを大幅に拡大します。
Smart PCAPは、機械学習を採用して標準的なPCAPの速度と精度を向上させるパケットキャプチャの技術です。
脅威ハンターからは、即座の満足感が得られると好評です。フォレンジック・アナリストからは、履歴の把握が評価されています。
総合的な可視化に対する挑戦
Smart PCAPは、完全な可視化に伴う「ノイズ」をカットします。
標準的なPCAPは、ネットワークを移動するすべてのデータパケットを傍受し、それらを保存して分析できるようにすることで、総合的なネットワークの可視性を提供します。これは、セキュリティ侵害の疑いや可能性をキャッチし、ネットワークの輻輳やパケットロスのようなネットワークパフォーマンスの問題を特定する、非常に優れたSOCツールです。
しかし、ネットワーク・セキュリティ・アナリストにとって、PCAP の最大の課題は、毎日何百、何千ものアラートに目を通さなければならないことです。そして、問題の詳細な調査と対策を講じる必要があるかどうかを迅速に判断する必要があります。これには貴重な時間と労力がかかり、トリアージされるべきであった誤報を追いかけることも含まれます。
よりスマートなPCAP
Smart PCAPは、Zeek-awareプロトコルアナライザを使用して、セキュリティアラートに関連するパケット転送から関連する生データをキャプチャし、パケットの内容を理解します。機械学習は、ログと抽出されたファイルをセキュリティの履歴と洞察にリンクさせるように訓練されており、アナリストは検出された脅威に関するコンテキストを即座に得ることができます。このエビデンスは、組織のセキュリティ情報およびイベント管理(SIEM)ソリューションを通じて取得することができます。
当社のSmart PCAPは、重要だが予期しないソフトウェアのインストールやディスクの消去操作など、異常なネットワークアクティビティに対するアラートをトリガーすると、同時に、インテリジェントに、既知の関心のあるストリーム内のパケットをターゲットにし始めます。これにより、SOCはアラートを受信した直後に適切なパケットを検索し、脅威の探索とトリアージ作業を最適化することができます。
より良いタイムマシンを作る
Smart PCAPは、その瞬間を捉えるだけではありません。新しい情報、戦略、ツールを使用しながら過去の脅威シナリオを再現し、アナリストが過去から学ぶことを可能にします。
PCAPはこれまで、高いストレージコストゆえに、非常に短期間、場合によっては数日間だけ、膨大なデータのインベントリを保持する必要がありました。しかし、Smart PCAPは、選択的な処理を可能にし、その結果、より少ないパケットを1年以上、長期間にわたって保持することができます。
Smart PCAPのバックトレース機能により、ユーザーは過去のパケットキャプチャを現在の脅威インテリジェンスと照らし合わせて再現し、以前は見えなかったインシデントを特定することができます。保持されたパケットを最新のグローバル脅威インテリジェンスシグネチャと照合してスキャンし、新しいシグネチャが利用可能になる前にすり抜けた脅威を検出します。つまり、過去のインシデントに対して「今知っていることを当時知っていたら」という思考を適用できるのです。
組織にSmart PCAPは必要か?
組織にSmart PCAPが必要かを判断するには、次のような問いが必要です:
- 現在のPCAPは、無関係なデータが多すぎてSOCの時間とストレージコストを浪費していないか?
- より迅速で正確な脅威の発見とインシデント対応は組織にとって大きな利点となるか?
- 過去に検知されなかった脅威が再び出現する可能性があるが、それを特定、再生、解決できるようにする必要があるか?
答えが「Yes」なら、Smart PCAPが適しています!
OpenText Network Detection & Responseは、企業全体のコラボレーションを促進し、セキュリティリスクを低減し、ネットワークの問題をかつてないほど迅速に解決できる、唯一のエンドツーエンドNDRプラットフォームです。
OpenText は、ネットワークの死角を特定し排除することで、お客様のビジネスが万全の準備を整え、信頼できる状態を維持できるよう支援します。
OpenTextの脅威検知・対応ソリューションの詳細はこちらです。
OpenText NDRは無償トライアル版をお試しいただくことができます。是非クラウドラボ環境で実際のデータを検索、調査、探索してみてください。
