Splunk との統合
Symantec Advanced Threat Protection(ATP)をご利用のお客様が、SIEM ツールとして Splunk をお使いであれば、Splunk のアプリサイト Splunkbase から Symantec ATP を無料でご利用いただけるようになりました。ATP センサーで感知される脅威イベントを、Splunk® にエクスポートすることができます。ATP Splunk ユーザーは、デフォルトのセキュリティダッシュボードを使えるようになり、あらゆる脅威イベントを簡単に確認できます。また、Symantec ATP から送られてくる豊富な脅威データを活用すれば、Splunk セキュリティダッシュボードの作成とカスタマイズも簡単です。ドリルダウンして、特定のインシデントに関連するファイルハッシュを閲覧したり、Splunk 経由でアドホッククエリーを実行したりすることもできます。
顧客が複数の Symantec ATP モジュールを所有している場合は、Splunk コンソールで、エンドポイントやネットワーク、メール、ローミングイベントといった検索フィールドを使って ATP イベントを絞り込むことも可能です。また、Symantec ATP アプリは Enterprise Security アプリで Splunk Adaptive Response のフレームワークを利用するため、インシデントレスポンス(IR)担当者は脅威への対応として、Splunk 管理コンソールから直接、侵害されたエンドポイントを修復し、分離することができます。こうした統合によって、複数の制御ポイントが可視化され、IR の対応タスクが自動化されます。
Symantec ATP アプリは、https://splunkbase.splunk.com/app/3453/からダウンロードできます。
最新バージョンで強化された主な機能
インシデント作成のルールを強化 - 顧客は、インシデントを容易に識別できるようになりました。その基準となるのは、1)エンドポイントで修復されていない悪質なファイルの検出、2)任意の悪質なファイルのサンドボックス検出、3)既知の悪質なサイト、またはコマンド & コントロールサイトとの通信です。
ATP のパフォーマンス向上: メール- メールの詳細と相関関係をただちに確認し、インシデントとイベントは、遅延なく作成されます。
疑わしいファイルの検出が向上 - シマンテックは、疑わしいファイルの識別を改善するために、マシンラーニングのアルゴリズムを常に調整し続けています。
Cynic サンドボックスを介して RTF ファイルを発行し、そこに存在するマルウェアを検出する機能 - RTF は一般的な文書ファイル形式なので、発行してサンドボックス処理できるようになりました。
詳しくは、http://atp.symantec.comをご覧ください。
参考資料:
ATP データシート: Splunk & ServiceNow Integrationをダウンロード
ATP: プラットフォームデータシートをダウンロード
Symantec Advanced Threat Protection 2.3 リリースノート
【参考訳】