NetWitnessは間もなくリリースする。 NetWitness Platform XDR v12.0 をダウンロードできるようになりました!この記事では、更新された製品名を含む、今度のリリースのハイライトについて説明します。特徴や機能の詳細については、下部のリンクをご参照ください。
新しいブランド - NetWitness XDR
NetWitnessは、ネットワーク トラフィック、ログ データ、エンドポイント マシンで観測される脅威を検出し、対応することを可能にする、世界クラスの可視性と同義語です。これは、Security Analytics(セキュリティ分析)からEvolved SIEM(進化したSIEM)まで、さまざまな名称で呼ばれてきましたが、現在では一般的にXDR(eXtended Detection and Response)と呼ばれています。
世界へのステートメント:NetWitnessはXDRです。私たちはそれを何年も続けてきました。
基本的にXDRは、複数のソースからのデータを活用し、アナリストに組織を保護するための包括的な可視性を提供する、脅威の検出と対応に対するアーキテクチャとアプローチを表しています。NetWitnessはこのフレーズを考案したわけではありませんが、コンセプトは考案しました。NetWitnessは、10年以上前にネットワーク、ログ、エンドポイントのデータを統合データモデルに統合し、2017年から完全に統合されたソリューションを提供しています。
私たちはXDRを最初に手がけ、XDRを最も得意とし、これからもXDRのコンセプトを提供し続ける。
NetWitness PlatformはNetWitness Platform XDRになりました。.NetWitnessのユーザ インタフェース全体に、この更新されたブランディングが表示されます。このアイデンティティ・シフトの詳細については、ブログをご覧ください。 これ.
バージョン12 - 検出リリース
新しいXDRメッセージングを採用するにあたり、NetWitnessの12.xラインの最初のバージョンもリリースします。このメジャー リリースは、3つの方法で高度な脅威検出を再定義するものです:
- 顧客は、特定の組織に適した効果的な脅威検知コンテンツを容易に見つけることができる。
- コンテンツの展開と管理が簡素化される
- 脅威検知によって生成されたアラートの可視性と理解が深まる。
重要な新機能と改善された検出機能のいくつかを以下に要約する。
コンテンツの検索
はじめに 組織が展開する必要があるデータソースからメタデータを抽出し、分析することが容易になりました。これには以下が含まれる:
- デフォルト / 既定の検出内容
- 関心のある技術や戦術に焦点を当てたコンテンツ・バンドル
- 特定業界向けコンテンツ・バンドル
ターゲットを絞った適切なコンテンツを見つけやすくすることは、ストーリーの一部に過ぎない。そのコンテンツは、実用的な洞察も提供しなければならない。新しい脅威インテリジェンス・コンテンツは、サードパーティ製も自社製もあり、継続的に更新されます。
脅威インテリジェンス・コンテンツ・バンドル
お客様が適切な脅威インテリジェンスコンテンツを特定し、ダウンロードし、配備できるよう、当社の脅威リサーチチームはより良いサポートを提供します、 ファーストウォッチは、新たな脅威インテリジェンス・コンテンツ・バンドルを作成している。脅威インテリジェンス・コンテンツを個別に選択することも可能ですが、特定のニーズに対応するために、事前に特定され、キュレーションされたコンテンツのバンドルを選択することもできるようになりました。バンドルは、以下を含む多くのカテゴリーで利用できるようになります:
- セクター (公共|民間)
- 産業別
- ジオグラフィック・シアター
- 脅威行為者/敵対者
- インフラ
- 悪意のあるコードとコンテンツ
- 工具
- 戦術、テクニック、手順
- 行動パターン
新しいバンドルは2022年第3四半期からリリースされ、その後もプラットフォームのメジャーリリースやマイナーリリースとは無関係に継続的にリリースされる。
コンテンツの展開
関連するコンテンツを特定したら、NetWitnessエコシステム内のさまざまなコンポーネントにコンテンツを配置する必要があります。これは、以前は面倒で複雑なプロセスでした。12.0リリースでは、集中型コンテンツ管理を導入します。
この機能により、顧客は単一のシンプルなユーザー・インターフェイスを通じて、インフラストラクチャ全体のコンテンツ展開を管理できるようになる。グループとポリシーにより、コンテンツは自動的に適切なサービスにデプロイされ、サブスクリプションを通じて最新の状態に保たれ、引退を含む完全なライフサイクルを通じて管理されます。
走行検知
コンテンツの識別と管理方法を改善することは、セキュリティオペレーションセンター(SOC)チームにとって当然、より良い結果につながるはずである。コンテンツは、脅威の検知と対応を促進するものでなければならず、SOCの担当者が意思決定と行動に関与する能動的なプロセスです。そのため、アナリストが最も重要なことに集中できるよう、検出結果の表示方法を大幅に改善しました。Springboard "アナリスト・コンソールの改善により、この点が強調されています:
- リッチなSpringboardパネル(ビジュアルの改善)
- クエリをSpringboardパネルに変換する機能(頻繁に使用するクエリを再利用し、再び使いやすくし、情報を最前面に表示する)
- アナリストはカスタムのSpringboardsを作成し、組織や職務に応じてカスタマイズすることで、生産性を向上させることができます。
Detect AI - クラウドにおける新たな高度分析
今年後半に発表されるDetect AI Insightは、クラウドから提供されるエキサイティングな新しい分析機能です。Detect AI Insightは、発見された資産を分類し、リスクを評価します。これにより、アナリストは、調査中の資産の目的や、組織内のその資産の相対的な重要性を理解することができます。この情報により、アナリストは多くのイベントを迅速にトリアージし、調査に優先順位を付け、最も影響力のあるシグナルに集中することができます。
Detect AIはまた、ネットワークデータに特化した新しいUser and Entitle Behavioral Analysis(UEBA)モデルを追加します。ログとエンドポイントデータの既存モデルと組み合わせることで、Detect AIはクラウドからUEBAの完全なカバレッジを提供します。これにより、顧客はハードウェアを追加することなく、高度な分析機能を導入することができます。Detect AIでは、新しいモデルが利用可能になり次第リリースされ、このサービスの価値をさらに高めていきます。
エッジの獲得 - エンドポイントの改善
このリリースでは、エンドポイント検出機能が大幅に改善されています。これらの改善には以下が含まれる:
- インポートされたファイル・ハッシュを使用してエンドポイント検出をキャプチャする機能(既知の不良ファイル・ハッシュのファイルをインポートすることで、そのような問題にフラグを立てることができます。)
- 脅威を検出するために、バックエンドではなくエンドポイントエージェント上でYaraルールを使用する。
- CIDR表記を使用して、エンドポイントエージェントでIPトラフィックをフィルタリングする機能(重要でないトラフィックを除外し、優先度の高いトラフィックに集中する)。
- MFT一括ダウンロード(サイズ制限を撤廃し、大容量のMFTファイルをダウンロード可能に)
- エンドポイント・アラートへの対応を再構築(アラート・ページ内のプロセス・ツリーを含む)
- すべてのエンドポイントを確実に監視するための検出用プラットフォームの追加:11.7.1リリースにあったWindows 11とMac OS 12のサポートに加え、ARMプロセッサーデバイス(Microsoft Surfaceタブレットなど)とWindows Server 2022のエージェントサポート
プロセスの管理
効果的なSOC管理には指標が重要であるため、インシデントの進捗状況を示す新たな指標を追加しました:
- 自動ジャーナリングとインシデントの変更履歴の取得に対応しました。
- この情報により、平均検出時間(MTTD)と平均対応時間(MTTR)のメトリクスが算出され、アナリストの生産性とインシデントへの対応状況を監視できます。
これらの主要な新機能に加え、ユーザーエクスペリエンス、パフォーマンス、管理に関する多数の追加的な改善があります。v12が2022年第3四半期に一般提供される際には、製品アドバイザリーとリリースノートを必ずご確認ください。
参考情報
プロダクト・アドバイザリー(リリース発表):リンク先のコミュニティページに掲載されます。 これ.
リリースノートを含む製品ドキュメント https://community.netwitness.com/t5/-/ct-p/netwitness-documentation