ソリトンシステムズは12月19日、EDR製品「InfoTrace Mark II for Cyber」の新版の提供を開始した。同製品は、ふるまい検知エンジンによるマルウェアからの防御、検知・分析、攻撃検知時の端末隔離などサイバー攻撃への迅速な対処を実現する。
新機能である「インサイト」は、任意条件にヒットしたログを集計して可視化する。これにより、サイバー攻撃にくわえ、内部不正の観点からも情報漏洩やコンプライアンス違反の兆候を洗い出すことを可能にする。
任意条件は同製品のログをもとに柔軟に設定できるため、組織の環境・特性に合わせたリスク指標(KRI; Key Risk Indicator)として活用できるほか、インサイトにヒットしたログのみを外部SIEMで分析できるような連携機能も搭載された。
サイバー攻撃対策としての利用例としては、攻撃者がよく利用するOS標準コマンド(tasklist, whoami、systeminfo、hostnameなど)の実行状況、C2サーバーとして利用されるブログサイトへのアクセス状況などが挙げられる。
内部不正対策としての利用例(情報漏洩対策・コンプライアンス強化)としては、USBストレージへの大量のファイルコピー、「機密」や「Confidential」など、指定文字列を含むドキュメント名の印刷、重要ファイルサーバーからのファイル持ち出しなどが挙げられる。
InfoTrace Mark II for Cyberの提供形態は、オンプレミス型とクラウドサービス型の2種類。オンプレミス型は「Mark II Server」「Mark II Analyzer」「Mark II Client」などから構成される。