Advanced Threat Protection

 View Only

新しいアプリをリリース: Symantec Advanced Threat Protection アプリが Splunk に登場 

Mar 21, 2017 02:31 AM

Splunk との統合

Symantec Advanced Threat Protection(ATP)をご利用のお客様が、SIEM ツールとして Splunk をお使いであれば、Splunk のアプリサイト Splunkbase から Symantec ATP を無料でご利用いただけるようになりました。ATP センサーで感知される脅威イベントを、Splunk® にエクスポートすることができます。ATP Splunk ユーザーは、デフォルトのセキュリティダッシュボードを使えるようになり、あらゆる脅威イベントを簡単に確認できます。また、Symantec ATP から送られてくる豊富な脅威データを活用すれば、Splunk セキュリティダッシュボードの作成とカスタマイズも簡単です。ドリルダウンして、特定のインシデントに関連するファイルハッシュを閲覧したり、Splunk 経由でアドホッククエリーを実行したりすることもできます。

 

顧客が複数の Symantec ATP モジュールを所有している場合は、Splunk コンソールで、エンドポイントやネットワーク、メール、ローミングイベントといった検索フィールドを使って ATP イベントを絞り込むことも可能です。また、Symantec ATP アプリは Enterprise Security アプリで Splunk Adaptive Response のフレームワークを利用するため、インシデントレスポンス(IR)担当者は脅威への対応として、Splunk 管理コンソールから直接、侵害されたエンドポイントを修復し、分離することができます。こうした統合によって、複数の制御ポイントが可視化され、IR の対応タスクが自動化されます。

Symantec ATP アプリは、https://splunkbase.splunk.com/app/3453/ からダウンロードできます。

Splunk 2_2_0.png

 

最新バージョンで強化された主な機能

  • インシデント作成のルールを強化 - 顧客は、インシデントを容易に識別できるようになりました。その基準となるのは、1)エンドポイントで修復されていない悪質なファイルの検出、2)任意の悪質なファイルのサンドボックス検出、3)既知の悪質なサイト、またはコマンド & コントロールサイトとの通信です。

 

  • ATP のパフォーマンス向上: メール - メールの詳細と相関関係をただちに確認し、インシデントとイベントは、遅延なく作成されます。

     

  • 疑わしいファイルの検出が向上 - シマンテックは、疑わしいファイルの識別を改善するために、マシンラーニングのアルゴリズムを常に調整し続けています。

     

  • Cynic サンドボックスを介して RTF ファイルを発行し、そこに存在するマルウェアを検出する機能 - RTF は一般的な文書ファイル形式なので、発行してサンドボックス処理できるようになりました。

 

詳しくは、http://atp.symantec.com をご覧ください。

 

参考資料:

ATP データシート: Splunk & ServiceNow Integration をダウンロード

ATP: プラットフォームデータシートをダウンロード

Symantec Advanced Threat Protection 2.3 リリースノート

【参考訳】

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.