OTセキュリティブログ

OT/IoT向けエンドポイントセキュリティセンサー Nozomi Arcとは

OTセキュリティは既存のシステムやプロセスを中断させないことを主な目的とし、パッシブなネットワーク監視から始まりました。多くの環境におけるプロトコルや帯域幅の制約により、IT やデータセンターでは利用できる直接的またはプロアクティブな手法ではなく、ネットワーク トラフィックから資産、脆弱性、脅威を特定する必要がありました。

Nozomi Networks は、顧客がより頻繁により多くのデータを取得するためにエンドポイントを積極的にポーリングできるようにするスマート ポーリングを導入しましたが、これは依然として Guardian エンジンからのネットワーク ベースのセンサーでした。

そこでNozomi Networksは、高度なエンドポイント分析の要望に応えるべく、エンドポイントで直接実行され、これまでよりも頻繁により多くの攻撃対象領域にアクセスできるNozomi Arcをリリースしました。

主な特徴

  • エンドポイントからのスマートポーリング
    Guardianでは見えないネットワーク上の追加資産を発見
  • ログファイル解析
    SIGMAルールをベースにエンドポイントのログを解析し脅威を検知
  • ユーザーアクティビティ相関分析
    ネットワークトラフィックをモニタし異常と特定のユーザーを関連付けることで, 潜在的なインサイダーによる脅威を特定
  • USBモニタリング
    接続されたUSBデバイスがマルウェアや悪意のある行為を行っていないか監視

接続イメージ

エンドポイントからのスマートポーリング

普段は通信しないようなアセットはパッシブなネットワーク監視で検知することができません。
このようなアセットに対してNozomi Arcをインストールすることで、パッシブで検知するアセット情報と統合することが可能になります。
スマートポーリング同様、インストール済ソフトウェア、脆弱性情報(パッチ適用状況)、システムリソース情報も収集することが可能です。

ログファイル解析

Nozomi Arcはオープンソースの統一フォーマットである「SIGMAルール」を使ってエンドポイントセンサーの監視ログにおける異常やアラートを検知しGuardianに送信します。

ユーザーアクティビティ相関分析

Nozomi Arcは、ネットワークトラフィックや異常と, 特定のユーザーを関連付けることで, 潜在的なインサイダーによる脅威を特定します。
Guardianではモニタポートから入力されたトラフィックと同様にエンドポイントセンサーのモニタリング情報からアセット、ノード、リンク、セッションの情報を解析します。
エンドポイントセンサーで記録しているイベントログ情報と取得したトラフィックをの相関を分析するため、インシデントレスポンスの能力を向上させることができます。

USBモニタリング

Nozomi Arcは、USBデバイスの接続を検知し接続されたUSBデバイスがマルウェアや悪意
のある行為を行っていないか監視し不正情報などをGuardianにアラートします。

選べる実行モード

Execution mode:Service

Windowsのサービスとして常駐して定期的にGuardianに情報を送信します。

リアルタイムに情報を更新したい場合に最適です。

Execution mode:One-shot

手動にて実行した時だけ情報を収集してGuardianに送信します。


設定した時間分だけ情報を収集します。
サービスとしてインストールされず、実行後はメモリから解放されるためインストール上のトラブルを回避できます。
アセット情報の棚卸など、月一回、半年に一回、年一回等の情報更新に最適です。

Execution mode:Offline

ネットワークに接続されていないアセットに対して、内部で情報を収集してファイルに書き出します。
One-shot同様設定した時間分だけ情報を収集します。
サービスとしてインストールされず、実行後はメモリから解放されるためインストール上のトラブルを回避できます。
取得したファイルはGuardianにインポートします。


オフラインのアセット情報とパッシブで検知するアセット情報と統合するのに最適です。

まとめ

Nozomi Guardianを導入頂き、パッシブなネットワークモニタより資産の可視化を実現していても、バックアップ用途などの普段は通信しないアセットやネットワークに接続されていないアセットも存在していると思います。これらのアセットに対しても、Guardianで一元的にアセットの可視化をすることができるようになります。
Nozomi Arcを導入したエンドポイントは内部のログ情報から、ネットワーク情報からは得られないより詳細な脅威情報をGuardianのアラートで検知することができるようになります。
また、RemoteCollectorを設置できないような環境に対してもエンドポイントがモニタしたネットワーク情報をGuardianに送信して統合することが可能となります。

このような課題をお持ちの方は、是非、Nozomi Networks が新たにリリースしたNozomi Arcを検討して頂きたいと思います。