内部脅威、未知の脅威、情報漏洩の3つにフォーカスしたソリューション

ArcSight Intelligence

機械学習による未知の脅威、内部不正、情報漏えいの発見。
既存のセキュリティソリューションが有効でない脅威領域に対応します。

Interset UEBA(User and Entity Behavioral Analytics)は、ArcSight Intelligenceへ名称を変更しました。

ArcSight Intelligenceは
教師なし学習を使って未知の脅威を検出します

「教師なし学習による異常検知」は、

"Unknown unknowns " (認識も理解もしていない事象) を 捕らえるのに適しており(※1)、何か既知で特定の事象を見つけるのではなく、未知の異常を見つける為に外れ値探しの手法を使います。(※2)

※1  - Advanced Analytics with Spark 2nd Edtion (O'relly Media) - より意訳
※2 - Practical Machine Learning: A New Look at Anomaly Detection (O'relly Media) - より意訳

ArcSight Intelligenceの特長

教師なし学習により自動で検知モデルを学習・強化するためAIや機械学習の知識は不要です

◆認証などの具体性のあるレイヤーのふるまいを検知
◆数百のモデルを用いて複眼で検知を行う
◆チューニングレス(環境に合わせてモデルの調整は不要)
◆教師なし学習によりイベントの意味付けの必要なし(自動で学習)

調査対象の優先度・着手順を明確にし、SOAR機能によりセキュリティ運用の工数を大幅に軽減します 

◆危険な人・物を真っ先に提示 
◆イベントを一つ一つ吟味するアプローチより素早い対応の着手が可能
◆SOAR機能(※)との連携で、重大度の高いインシデントへの迅速な対応が可能に
(※)SOAR:Security Orchestration, Automation and Responseの略でセキュリティ運用の自動化と効率化を実現させるためのテクノロジー/ソリューション。
ArcSight Intelligenceユーザーは、追加ライセンスや追加費用なしでSOAR機能(ArcSight SOAR)をご利用いただけます。

製品情報

データシート

Micro Focus ArcSight Intelligence UEBA により、データを窃取される前に、企業内に脅威が隠れていないか検知、調査、そして、対処することができます。

ArcSight Intelligenceの使いやすさ、独自性を備えたAI、アーキテクチャ、アプローチ
特長(使いやすさとオープンな統合)
特長(独自性を備えたAI、アーキテクチャ、アプローチ)
ArcSight Intelligenceの実績を知る
ArcSight Intelligenceにより大規模で高度な実力を持つレッドチームからの攻撃を検知

ArcSight Intelligenceにより大規模で高度な実力を持つレッドチームからの攻撃を検知

CrowdStrike EDR との連携
CrowdStrikeとInterset UEBAによる未知の脅威検知

リッチなログ出力という観点で、EDRは1データソースとしては非常に多くのArcSight Intelligenceがもつ検知モデルにかけることが可能です。
CrowdStrikeのEDRユーザーは、CrowdStrike Storeから簡単にArcSight Intelligence SaaSを始めることができます。

Interset UEBA(User and Entity Behavioral Analytics)は、ArcSight Intelligenceへ名称を変更しました。
SOCの進化に必要なものー複雑化する企業ITと高度化するサイバー攻撃ー

DXやリモートワークの普及からクラウドサービスなどの社外リソースの活用が進み、監視すべきセキュリティ領域も広がっています。
さらにサイバー攻撃が高度化・複雑化しているため、セキュリティ運用センター(SOC)は、さらに増加したアラートに対応し、巧妙化する攻撃や未知の脅威対策も行わなければなりません。
このような状況に対応するためには、マルウェア検知を主軸にした対応やポイントソリューションではなく、統合された組織的なセキュリティ対応が求められています。
また、運用監視における人材不足という課題もあります。
このホワイトペーパーは、このような課題を解決するために、振る舞い検知や自動化(SOAR)の機能、これらをSIEMやEDRと連携させるセキュリティプラットフォーム構築の重要性を記述しています。

ホワイトペーパーを見る

事例

大手医療機関

ArcSight Intelligence は、数百回の認証試行に失敗してもロックされていなかったアクティブな休眠ゲストアカウントが見つかり、就業時間外に行われていた機密サーバーへのアクセス試行を発見し、侵害が発生する前にその活動を停止させることに成功しました。

金融サービス企業

ArcSight Intelligence により未知の脅威ベクトルを特定して無力化することに成功しました。

大手オンライン小売企業

ArcSight Intelligence と CrowdStrike の連携により、隠れた脅威を明らかにし、手口が極めて巧妙な脅威と内部脅威の検知を確立して侵害を防止します。

大手金融サービス企業

POC で得られた驚異的な結果により、ArcSight Intelligencefor CrowdStrike を導入し、内部脅威に対抗することに成功しました。

グローバルメーカー

ArcSight Intelligence でCrowdStrike を補完。ArcSight Intelligence の概念実証 (POC) によって、進行中のブルートフォース攻撃 ( 総当たり攻撃 ) を検知し、対処しました。

大手医療関連企業

仮説ベースの脅威ハンティングからアナリティクス主導の脅威ハンティングへ。ArcSight Intelligence は内部脅威を無効化し、機密データの盗難を防止します。

掲載記事/講演動画・レポート等

セキュリティマネジメント Summit 2021 Summer 講演レポートはこちら

雇用の流動化やリモートワークの導入が進む中、内部不正や標的型攻撃による情報漏洩のリスクが高まっています。
組織内のPCやシステムの操作ログを分析するツールとしてSIEM(Security Information and Event Management:セキュリティ情報イベント管理)を導入する企業も多くありますが、SIEMと併せて利用することで、セキュリティチームの生産性向上を実現できます。
Micro Focusの「ArcSight Intelligence」(旧Interset UEBA)は、教師なし学習によりユーザーやエンティティの行動を分析し、異常を検知します。SIEMと併せて利用することで、セキュリティチームの生産性向上を実現できます。

ArcSight Intelligence(Interset UEBA)の特集記事はこちら

教師なし学習・数学的アプローチで検知―「Interset UEBA」で実現する、内部脅威対策
SOARとは。次世代SecOpsの世界
※2020年11月12日開催のパートナーセミナーでの講演を録画したものです。
SOARとは。次世代SecOpsの世界

セキュリティ運用の自動化を担うSOARはこの課題を解決する有効策といわれていますが、SOARとは何か、導入後のメリットを知っていただける講演動画をご案内します。SOARによるアラートに対応や、いくつかのシナリオを交えてインシデント対応のプロセスなどもご覧いただけます。

ArcSightポートフォリオ

業界をリードする相関分析とネイティブSOARにより、リアルタイムの脅威検出と効果的なレスポンスを実現します。
データをリアルタイムで収集してエンリッチ化するオープンプラットフォームを活用することで、必要な場所で整理された情報を利用することができます。
フォレンジック調査とセキュリティコンプライアンスのための、包括的なログ管理およびセキュリティ分析ソリューションです。
長期ログ保存、効率的なログ検索で、SIEM基盤のコンプライアンス対応を実現します。​
インシデント対応の自動化とオーケストレーション化により、セキュリティ運用を迅速化します。 ​
スケーラブルな環境で、脅威ハンティング、ログ管理、コンプライアンス機能を備えたインテリジェントなセキュリティ運用ソリューションです。 ​

ArcSightリリース関連情報

■ArcSight2022.1のリリースでは、脅威監視コンテンツを自動的に組み込む
Galaxy Threat Acceleration Program--Basicのインストールや
スマートでコスト効率の高いログストレージを提供できるカラム指向 / 共有ストレージが追加されました。

ArcSight2021.1のリリースで、ArcSight ESM(※1)とArcSight Recon(※2)に加え、ArcSight Intelligenceユーザーも追加ライセンスや追加費用なしでSOARが利用可能になりました。

(※1)ArcSight ESMはEnterprise Security Managerの略で、圧倒的なスケーラビリティ (100k EPS)を持つリアルタイム相関分析エンジンです。
(※2)ArcSight Reconは、超高速データベースVerticaのテクノロジーを採用し、ログ管理およびセキュリティ分析の包括的なソリューションを提供するだけでなく、ArcSightファミリの統合イベント管理基盤です。
Verticaが持つビッグデータの検索および分析機能により、高速なハンティングが可能で、フォレンジック調査の期間を短縮します。(日本語データシートはこちら)

YouTube:【日本語字幕付き】ArcSight 2021.1リリースのご紹介
YouTube:【日本語字幕付き】ArcSight 2021.1リリースのご紹介

ArcSight ESM 7.5へのアップグレード
最新のESM7.5では、追加費用なしでSOAR機能が利用でき、組織の自動対応能力を大幅に向上させることができます。
インシデントへの対応を加速し、事前に構築されたカスタマイズ可能なプレイブックを使用して、人、ツール、プロセス間のコラボレーションを改善することができます。
また、最新バージョンは他のArcSight 製品との緊密な統合、MITREATT&CK レポートとダッシュボード、分析の高速化、改善されたユーザーインターフェイスなど、最高のトータルエクスペリエンスを提供します。