[NetDetector]フォレンジック システム

[NetDetector]フォレンジック システム

価格問い合わせ、資料請求に関しては、メール送信願います。

お問い合わせはこちら

お客様の環境によって数ヶ月から年単位でのトラフィックデータを記録可能な他、外部バックアップサーバーとの組み合わせにより、長期間、様々なメディアにて証跡として保存が可能です。

リアルタイムにて、データの収集、統計処理、解析、表示といった一連の動作を同時に行うことが可能であり、データの取込み容量は、製品内には120~1460ギガバイト、またSAN(ストレージ・エリア・ネットワーク)など外部記録装置と連動させ、テラバイト以上のデータ記録を実現します。

ネットワークは映像、音声、大容量データアプリケーションの利用拡大に伴い、100Mbpsから10Gbpsへと拡大しています。ネットワークの状況に合わせてNIKSUNも全てのネットワークのモニタリングを可能とするため、より高速なインタフェース 10Gbps に対応します。

[ストレージ/FTPで無制限バックアップ]

  • ストレージは、内部ストレージと外部ストレージの組み合わせによって数テラバイトの容量をもたせることができ、数ヶ月から年単位でのトラフィックデータを記録可能です。
    取込んだデータを自動的に、外部のFTPサーバに自動的にキャプチャ生データを転送することにより、取得データを増大させることができます。

[ハイパフォーマンスキャプチャ統合型フォレンジックシステム]

(ギガビットインタフェース対応,日本語メール対応)

  • ハイパフォーマンスキャプチャ能力を使い、メールだけ、Webだけに特化せず、日本語メール、TelnetやWeb、チャット、 Dos Attack攻撃等を一台で忠実に再現する製品です。

[IDS(Snort)のシグネチャのチューンナップ]

  • 搭載しているIDS(Snort)をNetDetectorのData Replay機能を使って、ネットワークの再現(トラフィックジェネレーション)を行い、IDSのシグネチャ有効性の確認が可能です。
  • 不正侵入のパターンを再現できるのでシグネチャが正しく設定されているか確認が可能。

主な機能

ネットワークのフォレンジック分析(被害の発生場所、秘密データの漏洩者等)に必要な全てのデータ(統計・パケット情報)を提供します。

  • パケットレコーダ機能(IPトラフィックの高速リアルモニタリング、完全なデータキャプチャが可能
    強力で拡張可能なデータウェアハウスを構築、大容量データを高速検索するクエリーエンジン
    全ての通信トラフィック(生データ・統計データ)を記録/SANを使用することによりTバイトのディスク容量が使用可能
    データはSnifferフォーマット、TCPDump形式でExport可能
  • 長期間パケットデータの収集
    ストレージサイズを変更することで1週間、1ヶ月間のパケットや数ヶ月~年単位の統計情報を収集することが可能。
    指定期間のトラフィック情報を簡単に見ることが可能。
  • 豊富なレポーティング機能
    スケジュールレポートが可能(Daily・Weeklyレポートのメール送信機能など)
  • データバックアップ機能/長期的・安定的運用が可能/スケジュール化して外部FTPサーバにバックアップ可能
  • トラフィックジェネレータ機能(記録したハッキングパターン、ネットワーク侵害の履歴情報から侵害事象をリプレイ)
    既存IDSやF/Wのチューニングに用い、フォルスポジティブの削減や設定の調整が可能
  • 完全なステルス性/IPアドレスを持たないため攻撃の対象にならない
  • 専用管理コンソールが不要(Webブラウザでシステム管理)
    HTTP、HTTPSによる通信(JavaRuntime 1.4.2が必要)
  • ネットワーク不正利用の抑止効果

NetDetector配置イメージ図

NetDetector3大機能

(1)アプリケーションデーター再現機能

①通信内容(アプリケーションデーター)の再現機能
<企業内のポリシーのチェック:電子メール、HTMLの再現>
WEB、メール(STMP/POP3/IMAP)、Telnet、FTP IRC IM VoIP、印刷物データ・・・の再現
不正侵入者の行為、被害状況の把握、侵入経路の追跡が可能

<TCPセッション/アプリケーションの完全な復元>
ウェブ(HTTP/HTTPS)、電子メール(STMP/POP3/IMAP4)、
Telnet、FTP(※埋め込みイメージ)、MIMEアッタチメント
ASCⅡ、HEX、他多数のアプリケーション・レベルを
含む主要TCPアプリケーションの再構築をサポートします。
さらにストリング・サーチ(Base−64エンコーティングを含む)や
その他優れた検出機能を提出します。

  • 任意の時間において各ユーザがアクセスしていたURL一覧を表示
  • 任意の時間において送受信のメールアドレス・サブジェクト
  • 添付ファイル一覧を表示
  • 任意の時間において各ユーザがアクセスしていた画面を再現
    (ネットワークの不正利用の抑止)
  • 不正侵入者がどのように改宸したのかを閲覧可能
    (Webページの改宸対策)

(2)不正侵入検知機能

②不正侵入検知(シグネチャベース+異常トラフィックベース)
不正侵入検知システム( IDS )搭載
取得データに対して「Snort」をかけることが可能→シグネチャのチェック
IDSが出すアラートを元にデータを抽出可能
IDSでは検出不可能なDDoS攻撃や長時間のスローアタック等を検出可能

・Anomaly Alarm- 掲示板サイトへのアクセス検知 –

  • 掲示板サイトへの通信を行ったホストのイベントを上げるアラームを設定
  • :チェック間隔はデフォルトで5分
  • 不正侵入分析機能「Snort」を搭載しており、検知アラームを分析することで過剰検知を削減
  • 1)どこかのホスト間の通信が1バイトでもあれば上がるアラーム
  • 2)掲示板サイトのIPアドレスとHTTPポート番号でフィルタをかける
  • [記述例]
  • host 10.0.0.1 and top port 80
  • ※10.0.0.1の代わりに掲示板サイトのIPアドレスを入れる
  • 2000以上のシグネチャをサポートし、ディスクに蓄積されたデータに対して検索するため、不正侵入なのか正常なアクセスなのかの分析が可能。
  • IDSで検出不可能なアタックを検出
    長時間にわたるIPスプーフィングをトラフィックから検出可能。
  • Virus/Worm検出
    (Nimda、CodeRed、DoS)データパターンにより収集したトラフィックから分析が可能。
  • 1)設定したアラームをダブルクリック
  • 2)掲示版へアクセスしたホストの一覧が発生件数の多い順に表示される

(3)トラフィック機能

③ネットワークトラフィック分析機能
トラフィック統計、TCPコネクション測定、プロトコル分析など
・ネットワークトラフィック分析機能

  • 1)時間範囲やフィルタを指定
  • 2)アプリケーション・各ホスト間の通信の割合表示
  • 3)怪しいと思われるトラフィックの範囲にフォーカス

指定時間による指定レイヤのトラフィック、統計、コネクション情報を表示。
現在のレイヤと下位レイヤのトラフィック情報を色別で表示するため使用帯域の

確認が容易。
例えばTCPトラフィック内のHTTPプロトコルのネットワーク使用率が簡単にわかります。

・パケットのプロトコル翻訳が可能。

パケットデータはpcapフォーマットでエクスポートできるため、詳細な分析を
プロトコル・アナライザで行うことができます。

NetDetector3大機能を用いた解析の流れ

NiKSUN社製品の接続構成

NiKSUNには2つのインターフェースがあります

  • トラフィック収集用インターフェースと分析対象ネットワークを接続
  • 管理用インターフェースとアクセスに使うPCを接続
  • ①、②を終えたらいつでも分析を行えます。

 

NetDetector/NetVCR 追加オプションソフトモジュール

  • NIKSUN NetDetector/NetVCR 追加モジュール
    :切替により、1台でNetDetector/NetVCR が使用出来ます。
  • IPv6 2005 Package
  • NIKSUN NetRTX: リアルタイムエキスパート
  • NIKSUN NetRMON:RMONエージェントソフトウェア
  • NIKSUN NetSLM: リアルタイム閾値アラーム、解析
  • NIKSUN NetXperts: オフラインエキスパート解析ツール
  • NIKSUN NetMulticast: マルチキャストエキスパート解析ツール
  • NIKSUN NetVoice: VoIP解析ツール。セキュリティ、QoS(遅延、ロス、ジッタ)、音声再生
  • NIKSUN NetReporter: レポート生成ツール。(NetVCR用、NetDetector用)
  • NIKSUN NetUsage: 課金用IPアカウンティングツール。
  • NIKSUN NetPoller/NetFlow: SNMP ポーリング / NetFlowデータ解析