EISアプライアンス内で処理を実行

自己学習:通常の挙動の数学的モデルを構築(機械学習を継続的に続行)
挙動を理解しモデリング:ユーザ、デバイス、ネットワークを個別に把握
適応型:変化するエビデンスに基づいて蓋然性を絶え間なく計算
リアルタイム:脅威の発生と同時に検出

監視している拠点での脅威の検出 自己学習中 挙動を理解しモデリングおよび分類 3D可視化された端末のすべて 中央にあるPCの挙動不審 外部へデータを送信している・・・

内部ネットワークを可視化するアプライアンスの設置


すべてのトラフィックを分析するため、ルータ(ファイアウォール)配下のスイッチにポートミラーリング設定を行い、ネットワーク・パケットをアプライアンスに取得させる

Darktraceによる基本的な設置方法

Threat Visualizer

Threat Visualizerは、Enterprise Immune Systemを補完する視覚的な対話型3Dインターフェイスで、プラットフォームの基盤である高度な数学を理解する必要なく、分析担当者が直感的にネットワークの動作を可視化し異常を調査することができます。
Threat Visualizerは、データフローや関係性に対するネットワーク全体にわたるリアルタイムおよび履歴の任意の時点でのインテリジェンスに基づいた考察をユーザに提供します。異常が発生すると、Visualizerは異常発生までおよび発生中のイベントを表示し、疑わしい一連のイベントの発生の様子を再生することができます。
Threat Visualizerの対話型ツールで、分析担当者はレイヤを深く掘り下げての調査や複雑なクエリーの実行が可能です。また、このプラットフォームでは分析担当者による詳細なレベルでの調査をサポートしており、関連する生のネットワーク パケットをダウンロードして任意のツール(Wireshark等)で詳細なフォレンジック分析を行うことが可能です。

Images

Darktrace(ダークトレース)の導入

1 台のDarktraceアプライアンスに複数のネットワーク・トラフィックを入力することが可能で、ピーク トラフィック量に応じて数万台規模までの機器をカバーすることができます。複数台のDarktrace アプライアンスをクラスター化し地理的に分散したネットワークをカバーすることも可能です。これによりネットワーク内で大量のデータを移動する必要がありません。Darktraceアプライアンスをネットワークのどこに置くかによって、どのようなデータがアプライアンスに渡され、どの情報が挙動分析に使われるかが決まります。組織内の各ユーザと各機器にはネットワーク上での機能を表すような「生活パターン」があります。管理が不要な機械学習と数学を使ってDarktrace(ダークトレース)は、各機器と各ユーザ及びネットワーク全体の「生活パターン」を定義して独自の挙動モデルを作成します。これは挙動の指紋のようなものと考えられます。データが多くなればなるほど、正確な指紋になります。