Deep DiscoveryTM Inspector×IBM Security QRadarソリューション

脅威検知・ナレッジ分析×相関分析で
標的型攻撃を早期に発見・対策

Deep DiscoveryTM Inspector×IBM Security QRadar

【11/18】情報セキュリティカンファレンス
Trend Micro DIRECTION 出展 Report

情報セキュリティカンファレンス Trend Micro DIRECTION 出展報告

DDI×QRadar ソリューション」とは

DDI脅威分析のナレッジ(Trend Labs) + 標的型攻撃に対する検知(脅威検知センサー) × QRadar セキュリティの脅威に対するトレンド(IBM X-Force)&リスクレポート センサーやサーバのログを相関的に分析する高度な解析(QRadar(SIEM))

DDI×QRadar ソリューション
“標的型攻撃”を検知する『DDI』と、大量に吐き出されたセキュリティログから本当に対応しなければならない脅威をあぶりだす『QRadar』を組み合わせることで、あなたの会社をサイバー攻撃から守ります。

標的型攻撃はメールの添付ファイルや不正に改ざんされたWebサイトを通じて、悪意のあるプログラムを企業に侵入させます。だからと言って、メールやWebの出入口対策だけに注力しても、標的型攻撃の脅威は排除できません。「脅威を想定し、内部対策として社内ネットワーク全体を可視化し、不審な動きをできるだけ早期にあぶりだすことが重要。それを実現するのがDDI×QRadarソリューションなのです。

DDI×QRadar ソリューションはこんな企業に有効です

こんなことでお困りでは
ありませんか?
「DDI×QRadar」が解決
複数のセキュリティログを、簡易に監視したい。
全てのセキュリティインテリジェンスタスクを単一コンソールで提供。リアルタイムに社内外のセキュリティ状況を把握、迅速な対応が可能です。
セキュリティ・インシデント(発生事象)が起きても、ログから原因を特定できない。
セキュリティ機器、サーバ、アプリケーションなどの膨大なログ、ネットワークフロー情報をリアルタイムに分析、本当に対処すべきインシデントを特定します。
複数の脅威ログを、手動で突合させるのはコストも時間も要する。
知見を生かしたルールと検索パターン、レポート・テンプレートにより、導入までの期間を削減、潜在的な脅威および違反の調査に必要な手作業が大幅に軽減されます。
内部ネットワークに侵入した脅威の危険度を、自社環境と同じ環境下で判断したい。
DDIに付帯する『Sand Box』をカスタマイズし、自社環境を再現。保護された仮想環境にて実際に不振なファイルを安全に実行させるので、その動作結果から危険度を迅速に判定できます。
製品の必要性は理解しているがどこから始めればよいかわからない。
NI+Cでは、豊富な導入経験に基づきセキュリティモニタリング運用開始までに必要となる各種導入作業支援、および操作トレーニングを行い、導入から運用開始までをトータルに支援します。

導入パッケージングサービス

  • DDIサービス
  • QRadarサービス
  • 100種類以上のプロトコルに対応し、内部ネットワークの通信をとらえ、分析し、潜在脅威を高精度に検出します。
  • 監視対象のIP範囲・ポートを指定することができます。
  • 仮想アナライザのセットアップ、及び仮想アナライザに送信するファイルのルールの設定ができます。
  • お客様のデスクトップで用いられているソフトウェアなどの実環境での脅威を、仮想の検証環境で確認することが可能です。(SandBoxでの設定)
パターンやルールに基づく、複数のロジックを用いた脅威解析→静的解析 仮想空間での実行結果による脅威分析(サンドボックス技術)→動的解析

画像元:(C) Trend Micro Incorporated.

操作手順書の提供

  • Trend Micro社製品マニュアルに従って、お客様が運用・設定できるようになります。
HWアプライアンス(Trend Micro Deep Discovery Inspector) 1台
Baseサービス 基盤パラメータ設計サービス
キッティングサービス
DDI導入・設定サービス
SandBox導入・設定サービス(選択式)
システムテストサービス
Trend Micro社製品マニュアル提供
研修
構築期間(目安) 約2か月

セキュリティログを相関的に分析し本当に対応の必要のある脅威をあぶりだす「QRadar」はこちら

  • 脅威のありかを相関分析を駆使して可視化し、脅威が攻撃を深化させていく前に早期発見・対処します。
  • QRadarデータのバックアップやデータのパージがスケジュールベースで行われます。
  • ユーザ要件にあったダッシュボード・レポートを運用で使用できます。
  • ユーザ要件にあったオフェンス通知で運用できます。
  • ログソースの取り込みではDSM(Device Support Module)が予め用意されており、DSMに登録のない製品やログフォーマットについては、uDSMで定義することで確認対象に含めることが可能です。(オプションサービス)

業務サポートサービス

  • ダッシュボード・レポートの設計

操作手順書の提供

  • 操作手順書に従って、お客様が運用・設定できるようになります。(起動、停止手順、バックアップ、リストア手順、イベント保管設定手順、ユーザ管理手順、ルール設定手順、フィルタ(検索)手順、レポート設定手順、ログソース設定手順 等)

NI+C運用支援 *フルサポートプランのみ

  • ルールチューニングサービス:大量にあがってくるアラートの中から、本当に重要なログを見定めるためのチューニングを実施。(ご指定の回数)
  • 伴走サポートサービス:製品に関する技術的な問合せに対するサポートや、製品に起因する障害に対するサポート。(ご指定の期間)

特徴1 “グレー”の分析や相関分析を実施

SIEMは“グレー”の分析や相関分析を実施します。

画像元:(C) Trend Micro Incorporated.

一つのイベントだけで攻撃か否かを判断するのは難しく、端末単位に整理して、時系列の前後関係から広い視野で状況を把握する必要があります。
また、サーバのログ等、他のログを相関的に分析することで本物の脅威を発見できます。

特徴2 DSMのカスタマイズ

DSM(Device Support Module)
ログソースを取組むにあたり、グローバルに広く利用されているマルチベンダー製品(約450以上)に対応するための個別モジュール
uDSM(Universal Device Support Module)
DSMに登録のない製品モジュール

特徴3 <NI+C運用支援>ルールチューニング

大量にあがってくる脅威アラートの中から、本当にチェックが必要なアラートを見極めるため、定期的に弊社SEがお客様先にお伺いし、QRadarの確認や設定作業などを行います。

特徴4 <NI+C運用支援>伴走サポートサービス

導入後の運用が不安なお客様向けに、弊社SEがメールもしくは電話でのサポートを行います。また一部オンサイトでのサポートをご支援いたします。

ログソース (標準DSM)
QRadarアプライアンス(SIEM)1台
Baseサービス 基盤パラメータ設計サービス
キッティングサービス
QRadar導入・設定サービス
システムテストサービス
操作手順書作成・提供サービス(弊社アセットを利用)
運用パラメータヒアリング
レポート作成(標準テンプレート使用)※1レポート
ダッシュボード作成(ログソース検索条件使用)※1ダッシュボード(5グラフ)
運用系テスト
OPTION機能/uDSM(DSMのカスタマイズ)※個別相談
研修 管理者研修サービス
ユーザ研修サービス
構築期間(目安)約3か月

フルサポートプランのみの対象サービス

運用後支援 ポリシーチューニング支援サービス(選択式)
伴走サポートサービス(選択式)

“標的型攻撃”を一早く検知するDeep Discovery Inspector(DDI)はこちら

お客様のご要望にお応えした新メニュー
セキュリティ監視サービス

サービスメニュー
サービス概要
1.セキュリティアラート監視
お客様環境に設置したセキュリティ監視機能(DDI:Deep Discovery Inspector、IBM QRadar)にて、接続したネットワークの通信を
監視し、入り込んだ脅威のレベル(重大度)をアラート検知
2.アラート検知後の一次対応・報告
お客様環境内に今起こっている脅威、考えられるリスク、対応案や重大度の低いセキュリティアラート含め、定期的にご報告
3.セキュリティ監視設定の定期変更
監視対象追加・変更などへの対応も柔軟に実施
4.セキュアな接続回線でのNW接続サービス
セキュアな回線によるリモートサービスのご提供