ダークトレース

Darktrace(ダークトレース)
Enterprise Immune System - エンタープライズ・イミューンシステム
機械学習によりリアルタイムで組織内における脅威を検知

「Darktrace(ダークトレース)」は、従来の技術では検知されづらい不正な挙動を、固定的なルールに依らない「自己学習」により予兆のレベルから検知し、ネットワーク全体の可視化・調査機能で、インシデント対応プロセスの質・スピードの向上に寄与する製品です。

ルールやシグネチャに依存しない

機械学習による未知の脅威への対応

脅威のリアルタイム検知

3つの特徴

AI(機械学習)を活用した脅威の発見
AI(機械学習)を活用した脅威の発見

各ユーザやデバイスの挙動を分析し、ネットワークの定常状態を学習、定常状態から外れた不審な挙動に対しアラートを通知。これにより、従来の手法では発見できなかった微細な異常を捉えることで脅威やその予兆を捉えることが可能です。

ネットワーク全体の可視化と早急な解析が可能
ネットワーク全体の可視化と早急な解析が可能

対象ネットワーク全体のパケットを取得し可視化。
優れたUIによりDarktraceが発したアラートの分析だけでなく、他のセキュリティシステムが発したアラートの分析作業にも利用できます。
これによりインシデント発生時の早急な解析と手当が可能となります。

容易に導入、運用開始が可能
容易に導入、運用開始が可能

SIEM等と違い、導入にあたって特別な設計構築は必要なく、対象ネットワークのコアスイッチのミラーパケットを取得するだけで、Darktraceが自動的にユーザ情報やネットワーク構成を解析し、学習を開始します。また、ミラーパケットのみを取得するため他のシステムへの影響もありません。

セキュリティ対策の重点の変化

セキュリティ対策の投資先は、防御から検知・対応へ

~ いかに早期検知からフォレンジック、被害最小化、再発防止、法的対応につなげるか ~

セキュリティ対策の投資先は、防御から検知・対応へ

2つの検知モデルによる解析

Darktraceは大きくは2種類の検知モデルによって脅威を検知します。

※一部宛先等をベースとしたモデルもあります(DropBoxの利用等コンプライアンス系のモデルなど)

① 機械学習を主体とした検知

人(Credential)・デバイス・ネットワークの定常状態を学習し、そこからの逸脱を検知するタイプの検知モデル。

例:
Unusual Activity (デバイス等の稀な通信)、
Unusual External Connections(外部の稀な宛先に対する通信)、
Unusual Internal Connections(内部の稀な通信)など

② ラボでの研究を元としたモデル

マルウェア等の機械的な動きや偵察行為などの特有の挙動をラボ研究によりモデル化し、機械学習と併用にて検知するタイプの検知モデル。

例:
Port Scan(社内でのポートスキャン行為/内部偵察行為)、
Unusual Internal SSH(社内での稀なSSH通信/内部での偵察、感染行為)、
EXE from Rare External Location (稀な宛先からのEXEのダウンロード/デリバリ)、
Possible Ransomware Encryption(ランサムウェアの暗号化活動)など

導入イメージ

ネットワーク構成例
ネットワーク構成例
※CallHome(メーカーによる機器サポート、解析など)を利用する場合はメーカーに対してアウトバウンド方向にSSH22portでの通信が必要となります。(必須ではありません。スタンドアロンでの構成も可能です。)
※DHCPをご利用の場合、解析対象パケットには端末認識のためDHCPパケットが含まれている必要があります。

運用支援サービス

GRCSはDarktraceを利用した運用支援サービスをご提供しております。
標準サービス項目 サービス内容 備考
1 導入前ヒアリング 導入前にご要件をお伺いし、システム構成のコンサルティングを行い、構成を確定します。 初回導入前
2 PoV(トライアル) 無償で3週間程度ご利用いただき、検知したインシデントについての解説を行います。 初回導入前
導入サービス Darktraceアプライアンスのセットアップおよび製品の初期設定·テストを行います。 初回導入·機器追加時
3 Darktrace運用
アドバイザリサービス
定期的にリモートから、Darktraceのダッシュボードへアクセスします。もし重大なインシデントの兆候や痕跡を発見した場合は、サマリーレポートを作成してご提出いたします。 週1~5回
※頻度はご相談の上対応いたします