NetIQ Sentinel （以下Sentinel) は、完全なログ管理とリアルタイム相関分析、検知の機能を提供します。Sentinelは様々なシステムから生成されるセキュリティイベントログを収集し、リアルタイムで脅威の検知、アラートを行い、緊急度の高い問題を優先的に対処することを可能にします。また、導入企業は、ソフトウェアアプライアンスにより仮想環境へ簡単にデプロイすることが可能で、迅速にSIEMを展開することができます。

今回の最新版では、多くの機能を強化しました。NetIQ Sentinel 8の特長は、以下の通りです。
1. アイデンティティ トラッキング機能の強化
同一のユーザがシステム毎に異なるID名を使って発生するセキュリティイベントと、Active Directoryなどのディレクトリ上のID情報を、統合ID管理システムと連携させることで、IDを追跡することが可能となります。各セキュリティイベントの監査時に、リンクされたActive Directory等のディレクトリの属性情報から、そのイベントを発した個人を特定し、氏名や連絡先を参照しながら、監査することができます。

2. インテリジェントな異常検知機能
各々のIT環境に応じた特定のベースラインを確立し、異常なアクティビティを迅速に検出し、環境内の脅威パターンや異常を特定できます。ベースライニングとトレンドにより、過去の活動パターンから典型的な活動をモデル化し、それから外れた行動パターンを異常値として警告することで、潜在的な未知の脅威を検知することが可能です。強力なパターンベースの相関エンジンは、シンプルなグラフィカルルールビルダーを使用しており、複雑な既知の脅威を捕捉できます。

3. アラートのトリアージ
脅威に優先順位を付け、アラート時に最重要な問題から軽度な問題までを分類することで、システム管理者が対処すべき優先度を提示します。アラートダッシュボードにより、多数のアラートの中から重大な問題を優先し、調査・分析することができます。

4. Hadoopベースのストレージ統合
大規模なイベントを管理するために、HadoopフレームワークをSentinelで統合することが可能です。Hadoopベースのストレージと統合し、1台のSentinelでデータの収集と解析に、100万EPS (イベント/秒) までシームレスに拡張することができます。

5. 脅威情報
パッケージ化された最新の脅威情報を定期的にダウンロードできます。これにより、インターネットからの侵入や、自ホストのログベースにおいて、既知の脅威活動を検出することが可能です。この機能は、外部から提供されるインテリジェンスに基づいて、脅威を即座に優先順位付けすることをサポートします。

6. リアルタイムイベントの可視化
生成されたイベントデータを包括的に分類 (例えばイベントの重大度や、ドメイン、ホスト、サービス単位など) し、リアルタイムにそれらを可視化できます。Sentinelダッシュボードから直接参照でき、フィルタリング機能とドリルダウン機能により、イベントデータに即時にアクセスできます。

Sentinelは柔軟な構成方法を選択することが可能です。
1. インストール方法として、サービス型インストールおよび、アプライアンスインストールを提供
Sentinelは、インストーラを通じてOSへインストールする従来型インストールと、ソフトアプライアンスとして、OSとSentinelシステムを統合したインストールを提供しています。従来型のインストールでは、アプリケーションインストーラを使用して、既存のLinux OS上へSentinelをインストールします。ソフトウェアアプライアンスでは、SUSE Linux Enterprise ServerとSentinelソフトウェアを、あらかじめ構築されたインストールパッケージに統合します。

Sentinelは、Open Virtual Machine（OVF）と、Live CD形式のアプライアンスを提供しているため、各ハイパーバイザプラットフォームに展開が可能です。Sentinel OVFアプライアンスは、VMwareおよびXenサーバに適用可能です。Live CDアプライアンスでは、Hyper-VおよびOVFをサポートしないハイパーバイザとベアメタルサーバに適用可能です。

2. ストレージ構成は、従来型ストレージおよび、Hadoopベースのスケーラブルストレージから選択可能
従来型のストレージは、イベントの高速取り出しと、長期アーカイブのために最適化されたファイルベースのイベント記憶システムです。イベントストアは、イベントの一部または全部を保管することができる従来のリレーショナル データベースストアです。10：1の圧縮機能、完全インデックス検索機能、柔軟な保持/プライバシーポリシーを提供し、さらに関連するレポートタスクを高速化、データを従来のバックアップにアーカイブすることも可能です。

Hadoopベースのスケーラブルストレージは、大規模データの格納および管理のため、Apache Hadoop（CDH）フレームワークを含むClouderaのディストリビューションを活用しています。Hadoopベースのスケーラブルなストレージにより、単一のSentinelサーバでデータ収集と可視化を、約100万EPSまでシームレスにスケールアップすることができます。

3. データフェデレーションによる複数Sentinelの統合が可能
Sentinelの複数のインスタンスを異なる拠点に配置するような大規模な組織の場合、ローカルのSentinelサーバだけでなく、リモートにあるSentinelサーバ上のイベントを統合させ、単一の集中コンソールから検索することができます。

4. エージェントベース もしくは エージェントレスでのデータ収集
Sentinelは、WindowsおよびUNIX / Linuxのイベントソースに、エージェントベースまたはエージェントレスのデータ収集を柔軟に使用できます。Syslogサーバ機能によりSyslogに対応した様々な機器からのイベントを収集することが可能です。環境のニーズに応じて、各イベントソースにどの方法を使用するかを決定できます。

提供時期と価格
NetIQ Sentinel 8.0の出荷は2017年2月1日より開始します。ライセンスはEPSでカウントします。価格はオープンプライス(市場推定価格500EPS/250デバイス504万円から） で、販売代理店を経由して販売します。

<ノベルおよびNetIQについて>
ノベル株式会社とネットアイキュー株式会社は、Micro Focus Internationalの日本法人です。
詳しくは、こちらのサイトをご覧ください。
ノベル株式会社 www.novell.com/ja-jp
ネットアイキュー株式会社 www.netiq.co.jp