Flowmon ADS (プラグイン)
ネットワーク異常検出システム
インテリジェントな検出エンジンを搭載した Flowmon ADS は、動作分析アルゴリズムを活用して、ネットワークトラフィック内に隠された異常を検出し、悪意のある振る舞い、重要なアプリケーションに対する攻撃、データ侵害、侵害の兆候を検出します。
Flowmon ADS のメリット
セキュリティの抜け穴を防止
境界セキュリティとエンドポイントセキュリティの間の手薄になりがちなネットワークセキュリティ
侵害を検出
ランサムウェア、マルウェア、内部脅威、未知の脅威などを検出
機械学習の活用
インテリジェントテクノロジーを駆使して、見逃されやすい脅威も発見可能
主な機能
見つかりにくい侵害を検出
Flowmon ADS は、セキュリティ層にネットワーク中心の防御レイヤを追加し、境界セキュリティやエンドポイントセキュリティでは検出できない、未知の内部脅威のアクティビティを示すわずかなネットワーク異常を検出することができます。 MITRE ATT&CK® フレームワークでインシデントを状況の情報を含めて視覚化し、侵害の範囲、重大度、今後の展開などについてチェックできます。
自動化された検出と対応 (NDR)
40 を超える AI ベースの手法と 200 を超えるアルゴリズムを組み合わせて、脅威を早期に自動的かつ即座に検出することができます。未知の脅威、マルウェア、ランサムウェア、Windows DNS SIGRed エクスプロイト、トロイの木馬攻撃、暗号化されたトラフィックに隠された脅威などを検出できます。ADS は、ネットワークアクセスコントロール、認証、ファイアウォールなどと統合することができ、インシデントに迅速に対応できます。
Suricata 搭載の Flowmon IDS Probe を活用
Flowmon ADS には、Suricata を搭載した Flowmon IDS Probe からイベントを受信する IDS コレクターが組み込まれており、シグネチャ・ベースでないアプローチとシグネチャ・ベースのアプローチの双方の長所を組み合わせて、より多くの攻撃ベクトルがカバーできます。
集中を妨げる誤検知を防止
対処しなければならない問題だけに集中できるよう、異常なトラフィックと通常のトラフィックを区別し、実際に危険が発生した場合にのみ警告します。検出されたセキュリティイベントは重大度によってランク付けされ、ソリューションに組み込まれた専門知識を適用して洗練された状況認識が加えられることで、迅速なトリアージと対応が可能になります。
Flowmon ADS の機能
設定ウィザード
システムには様々な種類のネットワーク用に事前定義された設定が付属しており、初期設定後に簡単なウィザードを使用して設定を自動的に調整します。また、本当に問題となるイベントだけを検出できるよう、誤検知を管理することもできます。
攻撃の証拠と分析
疑わしいイベントについて、その複雑さが把握できます。状況を踏まえた証拠、視覚化、ネットワークデータ、フォレンジック用の完全なパケットトレースなどを提供し、速やかに有効なアクションを実行することができます。
優先順位付けとレポート
組み込まれている優先順位付け方法を使用することができます。または、独自に重大度決定ルールを設定して、グローバル、グループ、ユーザーレベルで適用することもできます。セキュリティ、ネットワーキング、IT ヘルプデスク、管理者の観点からカスタムダッシュボードを作成することも可能です。
高度なアクショントリガー
ネットワークまたは認証ツールとのスクリプトベースの統合により、攻撃に自動的に対応します。Flowmon は、イベントを検出すると、例えば pxGrid を介して Cisco ISE に接続し、悪意のある IP アドレスを隔離できます。
攻撃記録の自動化
イベントを検出すると、フルパケットキャプチャを自動的にトリガーします。ローリングメモリバッファを使用しており、攻撃が開始される前のネットワークデータもパケットトレースに記録されています。フィルタを使用して特定の攻撃通信のみを保存することもできます。
ユーザー定義メソッド
Flowmon は柔軟であり、カスタム化された検出方法を作成することもできます。クライアントのネットワーク環境やポリシーに固有の、悪意のあるトラフィック、不要なトラフィック、その他特徴的なトラフィックにレッドフラグを付けることが可能です。SQL に似たシンタックスでルールを作成するだけです。
振る舞いパターン
ユーザー、デバイス、サーバーの正しくない使用や疑わしい振る舞いを検出します。DNS、DHCP、ICMP、SMTP などのプロトコルを把握して、データの流出、偵察、横方向の動き、不要なアクティビティを突きとめることができます。
「Flowmon は、パートナーからネットワークデータを収集し、トラフィックの異常を検出する複雑なシステムの不可欠な部分になっています。Flowmon を使うことで、グローバルセキュリティの観点から傍受能力を強化することができます。」
Stanislav Barta 氏
NTA 部長
他システムとの統合
Flowmon は、ログ管理、SIEM、ビッグ データプラットフォーム、インシデント処理/対応ツールに対する重要な情報源として機能します。syslog、SNMP、電子メール、REST API、またはカスタムスクリプトを介して統合できます。
ネットワークテレメトリ
既存のインフラストラクチャを、ネットワークデバイス、ロードバランサー、パブリッククラウドプラットフォーム、ファイアウォール、仮想化プラットフォーム、パケットブローカーなどの他のデータ ソースから NetFlow、IPFIX、sFlow、jFlow、または NetStream を生成するセンサーとして、活用します。
ログ記録とレポート
ログ管理または SIEM システムに、コンテキストが豊富な syslog または SNMP メッセージによる包括的なログ記録を提供します。IT 環境全体の可視性を最大化でき、チケット発行ツールにイベントを自動的に記録することもできます。
MISP
コミュニティの脅威インテリジェンスを活用し、6,000 を超える MISP 参加者が共有する侵害インジケーターを使用して脅威を検出します。
ユーザー ID
認証システムのログデータを収集し、それを Flowmon で関連付けることにより、どのユーザーまたはホスト名が攻撃に参加したかを確認します。Cisco ISE や AD/LDAP など、syslog 対応の認証サービスまたはベンダーがサポートされています。
攻撃のブロックと対応
Flowmon をファイアウォール、SDN コントローラー、またはネットワークアクセスコントロールやインシデント対応のためのその他のテクノロジーと統合して、セキュリティインシデントへの対応を完全に自動化します。または、独自の緩和シナリオをスクリプト化し、セキュリティイベントが発生したときにトリガーされるようにすることもできます。