OTセキュリティは既存のシステムやプロセスを中断させないことを主な目的とし、パッシブなネットワーク監視から始まりました。多くの環境におけるプロトコルや帯域幅の制約により、IT やデータセンターでは利用できる直接的またはプロアクティブな手法ではなく、ネットワーク トラフィックから資産、脆弱性、脅威を特定する必要がありました。
Nozomi Networks は、顧客がより頻繁により多くのデータを取得するためにエンドポイントを積極的にポーリングできるようにするスマート ポーリングを導入しましたが、これは依然として Guardian エンジンからのネットワーク ベースのセンサーでした。
そこでNozomi Networksは、高度なエンドポイント分析の要望に応えるべく、エンドポイントで直接実行され、これまでよりも頻繁により多くの攻撃対象領域にアクセスできるNozomi Arcをリリースしました。
Nozomi Arcはオープンソースの統一フォーマットである「SIGMAルール」を使ってエンドポイントセンサーの監視ログにおける異常やアラートを検知しGuardianに送信します。
Nozomi Arcは、ネットワークトラフィックや異常と, 特定のユーザーを関連付けることで, 潜在的なインサイダーによる脅威を特定します。
Guardianではモニタポートから入力されたトラフィックと同様にエンドポイントセンサーのモニタリング情報からアセット、ノード、リンク、セッションの情報を解析します。
エンドポイントセンサーで記録しているイベントログ情報と取得したトラフィックをの相関を分析するため、インシデントレスポンスの能力を向上させることができます。
Nozomi Arcは、USBデバイスの接続を検知し接続されたUSBデバイスがマルウェアや悪意
のある行為を行っていないか監視し不正情報などをGuardianにアラートします。
Windowsのサービスとして常駐して定期的にGuardianに情報を送信します。
リアルタイムに情報を更新したい場合に最適です。
手動にて実行した時だけ情報を収集してGuardianに送信します。
設定した時間分だけ情報を収集します。
サービスとしてインストールされず、実行後はメモリから解放されるためインストール上のトラブルを回避できます。
アセット情報の棚卸など、月一回、半年に一回、年一回等の情報更新に最適です。
ネットワークに接続されていないアセットに対して、内部で情報を収集してファイルに書き出します。
One-shot同様設定した時間分だけ情報を収集します。
サービスとしてインストールされず、実行後はメモリから解放されるためインストール上のトラブルを回避できます。
取得したファイルはGuardianにインポートします。
オフラインのアセット情報とパッシブで検知するアセット情報と統合するのに最適です。
Nozomi Guardianを導入頂き、パッシブなネットワークモニタより資産の可視化を実現していても、バックアップ用途などの普段は通信しないアセットやネットワークに接続されていないアセットも存在していると思います。これらのアセットに対しても、Guardianで一元的にアセットの可視化をすることができるようになります。
Nozomi Arcを導入したエンドポイントは内部のログ情報から、ネットワーク情報からは得られないより詳細な脅威情報をGuardianのアラートで検知することができるようになります。
また、RemoteCollectorを設置できないような環境に対してもエンドポイントがモニタしたネットワーク情報をGuardianに送信して統合することが可能となります。
このような課題をお持ちの方は、是非、Nozomi Networks が新たにリリースしたNozomi Arcを検討して頂きたいと思います。