UTM を導入しただけでは、脅威への対策は完全であると言えません。より強固なセキュリティを実現するには、通過してしまった通信のログ情報から防御機能で阻止できなかった攻撃の兆候や異常に気付き、インシデント発生時はいち早く処置ができる運用監視体制が必要です。しかし、「Fortigate」や「Palo Alto」など UTM を導入してからも、求められるセキュリティ運用監視項目が分からず頭を抱える担当者も少なくありません。
MSS for UTM は、SBT のセキュリティ監視センターから、 お客様環境の UTM(Unified Threat Management)製品を24時間365日体制でセキュリティ専門アナリストが監視を行うサービスです。UTM の運用はもちろん、ログや検知したセキュリティアラートに対し、誤検知の有無、危険度を判断し、考えられる被害、また、それに対する対策案まで含めてご担当者様へ通知します。
セキュリティ専門アナリストによるセキュリティに特化した「監視」と「運用」を統合し提供、セキュリティイベントの早期発見と安定したシステム稼働を実現します。
左右にスクロールしてご覧ください。
| サービス名 | 機能 | 詳細 |
|---|---|---|
| セキュリティ監視サービス | インシデント監視 | UTM 機器が検知したセキュリティアラートをトリガーに、セキュリティ専門アナリストが危険度を判断し、当社基準に基づきお客様への通達を行います |
| セキュリティログ監視 | 外部 C&C サーバーとの通信や通信量増加によるセッション数の急上昇を検知、ネットワーク状態の傾向変化から不審な通信状況を監視します | |
| システム監視 | システムダウンを未然に防ぐため、ノード(疎通、ログ受信、管理ポート、冗長構成)、パフォーマンス(メモリ、CPU、ディスク)、シグネチャ更新など、稼働状況を常に監視します | |
| セキュリティ運用サービス | 通信遮断 | セキュリティ専門アナリストがインシデントと判断し、UTM 機器において不正通信が遮断可能な場合には、許可をいただいたうえで該当通信を遮断します |
| セキュリティオペレーション | IPS のシグネチャチューニング作業や Firewall アクセスリストの設定変更、設定ファイルのバックアップをセキュリティエンジニアがお客様にかわって実施します | |
| 報告、レポート | インシデント検出状況やシステムの稼働状況を集計してご提供します |
一つのインシデントに対し、単一機能ログ分析で留めずに、各機能のログを横断的に分析し精度を高めます。
SBT の既存 MSS メニューと組み合わせることで、UTM 製品で検知したアラートの一連の解析や遮断などの対処に加え、攻撃者に乗っ取られた PC 端末内部の悪意ある動きを分析し即座に封じ込めるといった追加の調査・対処までをサポートします。
※別途、他監視対象の MSS 契約が必要です。
アラートのリスクレベルが「低」の場合でも、攻撃の兆候が含まれている場合があります。 本サービスはリスクレベルに関係なく、全てのアラートを監視・分析対象としています。
左右にスクロールしてご覧ください。
| 種類 | 内容 | |
|---|---|---|
| セキュリティインシデント監視 | ファイアウォール | ポリシー違反の通信の監視や不審な IP への通信、内部から外部への不審な通信、傾向変化状態の監視。 |
| URL フィルタリング | 不審な URL、ポリシー違反の疑いのあるサイトへの接続状況の監視。およびマルウェア感染後の挙動発見など追加調査での利用。 | |
| アプリケーションコントロール | 不審なアプリ、ポリシー違反の疑いのあるアプリケーション利用状況の監視。およびマルウェア感染後の挙動発見など追加調査での利用。 | |
| IPS/IDS | 不正アクセスのアラートを監視。攻撃の成否確認をアナリストが行います。 | |
| アンチウイルス(AV) | アンチウィルスの検知結果を監視(分析ルール、相関分析ルールに一致するアラートのみを対象)。 | |
| サンドボックス | サンドボックスの検知結果を監視(分析ルール、相関分析ルールに一致するアラートのみを対象)。 | |
| セキュリティインシデント対応 | インシデント報告 | 判断した危険度に基づいて、検知内容及び調査結果についてお客様へ報告。 ・報告内容(例:概要、検知内容、危険度、対策案) |
| 通信遮断 | セキュリティ機器において不正通信が遮断可能な場合にはお客様の許可をいただいたうえで当該通信を遮断。 | |
| 誤遮断解除 | シグネチャ自動更新による通信の誤遮断の解除。 ※お客様からの依頼をトリガーに実施 |
|
| システム監視 | ノード監視(疎通・冗長・管理画面・ログ受信状況) | それぞれの状況を定期的に監視し異常があった場合はお客様へ報告。 |
| リソース監視(CPU・メモリ・ディスク) | それぞれの状況を定期的に監視し一定期間閾値を超えた場合はお客様へ報告。 | |
| シグネチャ更新状況監視 | 自動アップデートされるシグネチャが最新であることを定期的に確認。 | |
| セキュリティオペレーション | FW 設定変更作業(9-18時) | お客様からのご依頼に基づき FW の設定を変更します。月5回まで。 |
| シグネチャチューニング(9-18時) | お客様からのご依頼に基づき IPS のシグネチャ設定を変更します。月5回まで。 | |
| システムオペレーション | 設定バックアップ | 製品の設定ファイルを過去2世代分バックアップ。 |
| ログ保管 | 過去3か月分のログデータを保管。 | |
| 月次レポート | 簡易レポート | システム稼働状況、アラート検知状況、インシデントサマリ |
| 詳細レポート | (簡易レポートの内容に加え)アナリストコメント、インシデント詳細情報、セキュリティトピック | |
| リモート報告会 | 月次・スポット | 当社セキュリティ専門アナリストが詳細月次レポートの内容を基に報告 |
