無料診断
    お問い合わせ

    OT/IoT向けエンドポイントセキュリティセンサー Nozomi Arcとは

     Sep 29, 2023 3:09:52 PM  テリロジー 「半公式」エンジニアブログ(仮)

    OTセキュリティは既存のシステムやプロセスを中断させないことを主な目的とし、パッシブなネットワーク監視から始まりました。多くの環境におけるプロトコルや帯域幅の制約により、IT やデータセンターでは利用できる直接的またはプロアクティブな手法ではなく、ネットワーク トラフィックから資産、脆弱性、脅威を特定する必要がありました。

    Nozomi Networks は、顧客がより頻繁により多くのデータを取得するためにエンドポイントを積極的にポーリングできるようにするスマート ポーリングを導入しましたが、これは依然として Guardian エンジンからのネットワーク ベースのセンサーでした。

    そこでNozomi Networksは、高度なエンドポイント分析の要望に応えるべく、エンドポイントで直接実行され、これまでよりも頻繁により多くの攻撃対象領域にアクセスできるNozomi Arcをリリースしました。

    主な特徴

    • エンドポイントからのスマートポーリング
      Guardianでは見えないネットワーク上の追加資産を発見
    • ログファイル解析
      SIGMAルールをベースにエンドポイントのログを解析し脅威を検知
    • ユーザーアクティビティ相関分析
      ネットワークトラフィックをモニタし異常と特定のユーザーを関連付けることで, 潜在的なインサイダーによる脅威を特定
    • USBモニタリング
      接続されたUSBデバイスがマルウェアや悪意のある行為を行っていないか監視

    接続イメージ

    エンドポイントからのスマートポーリング

    普段は通信しないようなアセットはパッシブなネットワーク監視で検知することができません。
    このようなアセットに対してNozomi Arcをインストールすることで、パッシブで検知するアセット情報と統合することが可能になります。
    スマートポーリング同様、インストール済ソフトウェア、脆弱性情報(パッチ適用状況)、システムリソース情報も収集することが可能です。

    ログファイル解析

    Nozomi Arcはオープンソースの統一フォーマットである「SIGMAルール」を使ってエンドポイントセンサーの監視ログにおける異常やアラートを検知しGuardianに送信します。

    ユーザーアクティビティ相関分析

    Nozomi Arcは、ネットワークトラフィックや異常と, 特定のユーザーを関連付けることで, 潜在的なインサイダーによる脅威を特定します。
    Guardianではモニタポートから入力されたトラフィックと同様にエンドポイントセンサーのモニタリング情報からアセット、ノード、リンク、セッションの情報を解析します。
    エンドポイントセンサーで記録しているイベントログ情報と取得したトラフィックをの相関を分析するため、インシデントレスポンスの能力を向上させることができます。

    USBモニタリング

    Nozomi Arcは、USBデバイスの接続を検知し接続されたUSBデバイスがマルウェアや悪意
    のある行為を行っていないか監視し不正情報などをGuardianにアラートします。

    選べる実行モード

    Execution mode:Service

    Windowsのサービスとして常駐して定期的にGuardianに情報を送信します。

    リアルタイムに情報を更新したい場合に最適です。

    Execution mode:One-shot

    手動にて実行した時だけ情報を収集してGuardianに送信します。


    設定した時間分だけ情報を収集します。
    サービスとしてインストールされず、実行後はメモリから解放されるためインストール上のトラブルを回避できます。
    アセット情報の棚卸など、月一回、半年に一回、年一回等の情報更新に最適です。

    Execution mode:Offline

    ネットワークに接続されていないアセットに対して、内部で情報を収集してファイルに書き出します。
    One-shot同様設定した時間分だけ情報を収集します。
    サービスとしてインストールされず、実行後はメモリから解放されるためインストール上のトラブルを回避できます。
    取得したファイルはGuardianにインポートします。


    オフラインのアセット情報とパッシブで検知するアセット情報と統合するのに最適です。

    まとめ

    Nozomi Guardianを導入頂き、パッシブなネットワークモニタより資産の可視化を実現していても、バックアップ用途などの普段は通信しないアセットやネットワークに接続されていないアセットも存在していると思います。これらのアセットに対しても、Guardianで一元的にアセットの可視化をすることができるようになります。
    Nozomi Arcを導入したエンドポイントは内部のログ情報から、ネットワーク情報からは得られないより詳細な脅威情報をGuardianのアラートで検知することができるようになります。
    また、RemoteCollectorを設置できないような環境に対してもエンドポイントがモニタしたネットワーク情報をGuardianに送信して統合することが可能となります。

    このような課題をお持ちの方は、是非、Nozomi Networks が新たにリリースしたNozomi Arcを検討して頂きたいと思います。
    OTセキュリティにおけるフレームワーク深掘り~ISA/IEC 62443とは~
    Nozomi Networks テリロジーオリジナルサービスのご紹介

    RECENT POST「Nozomi Networks」の最新記事

    Nozomi Networks

    2024.04.15

    NOZOMIの仮想アプライアンスをKVMにデプロイしてみた
    Nozomi Networks

    2024.03.28

    OT と CPS の文脈における OSI モデルとサイバーセキュリティの基礎
    Nozomi Networks

    2024.02.28

    Hyper-Vで仮想版Guardianを構築してみた【補足編】
    Nozomi Networks

    2024.01.29

    変電所と送電網のサイバーセキュリティと信頼性の向上
    OT/IoT向けエンドポイントセキュリティセンサー Nozomi Arcとは

    RECENT POST 最新記事

    NOZOMIの仮想アプライアンスをKVMにデプロイしてみた

    NOZOMIの仮想アプライアンスをKVMにデプロイしてみた
    OT と CPS の文脈における OSI モデルとサイバーセキュリティの基礎

    OT と CPS の文脈における OSI モデルとサイバーセキュリティの基礎
    Hyper-Vで仮想版Guardianを構築してみた【補足編】

    Hyper-Vで仮想版Guardianを構築してみた【補足編】
    変電所と送電網のサイバーセキュリティと信頼性の向上

    変電所と送電網のサイバーセキュリティと信頼性の向上
    Nozomi NetworksがOTサイバーセキュリティソリューションのFrost Radarのリーダに選ばれる

    Nozomi NetworksがOTサイバーセキュリティソリューションのFrost Radarのリーダに選ばれる

    RANKING人気記事ランキング

    ブログ無料購読のご案内

    TOPIC トピック一覧

    SEARCHブログ内検索