ソリトンシステムズは10月26日、標的型サイバー攻撃においてCSIRT/SOCでの脅威ハンティングを支援する「InfoTrace Mark II Analyzer」を開発、次世代EDR(Endpoint Detection and Response)製品「InfoTrace Mark II for Cyber」のログ分析エンジンとして11月上旬より販売開始すると発表した。
「InfoTrace Mark II Analyzer」は、「InfoTrace Mark II for Cyber」による検知アラートなどのイベントやセキュリティログを解析し、CSIRTやSOCにおけるセキュリティインシデントの検知・全容把握や初動対応といった脅威ハンティングを支援する製品。
「InfoTrace Mark II Analyzer」のダッシュボード画面から、脅威検知イベントの確認、検知元や脅威の活動範囲の調査、脅威を保持している端末のネットワーク隔離といった対応を行うことができるという。
「InfoTrace Mark II Analyzer」では、FireEyeやPalo Alto Networksなどのゲートウェイ型サイバーセキュリティ製品、Cylance社のエンドポイント型次世代マルウェア対策製品の検知アラートを取り込んで活用する機能も搭載し、既にサイバーセキュリティ製品を導入している企業や団体でも、既存の対策製品を活用しつつ利用できるという。
脅威検知イベントのサマリー、イベント一覧、イベント詳細などの表示、セキュリティログを用いた分析、マルウェアなどの特定ファイルを保持している端末の検索、端末のネットワーク隔離といった対応を行え、脅威検知イベントごとに脅威ハンティングの対応状況を記録することができる。
検知端末の詳細状況の把握や脅威の発生から現在までの活動範囲を追跡調査することができ、マルウェアなどが実行する一連のプロセスをプロセスチェインとして表示し、カーネルレベルで取得した各プロセスの挙動、例えば、外部通信の送受信バイト数や、ファイル読み書きバイト数などから侵害の有無まで確認することができるという。
また、マルウェアのハッシュ値やファイル名を元に、特定ファイルを保持している端末の検索が可能。
販売価格は、Mark II Analyzer中規模モデルが398万円(税別)。受注開始は11月上旬、出荷開始は11月下旬以降を予定している。