米PatternExの「PatternEx Virtual Analyst Platform」は、ネットワーク機器などのログデータを基に、セキュリティ上の脅威を検出するソフト。機械学習によって生成した判定モデルを使って脅威を検出する。アナリストから日々教育を受けて継続的に再学習することで、判定モデルの検出精度を高める。

PatternEx Virtual Analyst Platformの概要
(出所:TwoFive)
[画像のクリックで拡大表示]

 対象となるデータソースは、ファイアウォール、プロキシサーバー、DNSサーバー、ユーザー認証システムなど、各種カテゴリーに及ぶ。これらから収集したログデータを、サイバー攻撃者の行動情報に変換したうえで、判定モデルを用いてサイバー攻撃を検出する。

 機械学習による判定モデルとして、サイバー攻撃の各フェーズにおける攻撃者の行動パターンをなぞった100以上のモデルを搭載している。これにより、ルールベースでは検知できない脅威を検知できる。SIEMなどの従来のログ管理システムと異なり、検知ルールをユーザーが自前で作成する必要がない。

 特徴の1つは、アナリストからのフィードバックを継続的に再学習する仕掛けを持っていることである。検出した脅威に対して、人間のアナリストが分析結果(ラベル情報)をフィードバックし、これを利用して検知モデルの再学習を行う。再学習を重ねることによって、脅威の検出精度が向上し、誤検知率が低下する。販売代理店のTwoFiveによれば、Virtual Analyst Platformの誤検出は従来製品と比べて5分の1であり、検出は10倍向上する。

PatternEx Virtual Analyst Platformの概要
用途と機能ネットワーク機器などのログデータを基に、セキュリティ上の脅威を検出するソフト
ログのデータソースファイアウォール、プロキシサーバー、DNSサーバー、ユーザー認証システムなど、各種カテゴリーに及ぶ
特徴機械学習によって生成した判定モデルを使って脅威を検出する。機械学習による判定モデルとして、サイバー攻撃の各フェーズにおける攻撃者の行動パターンをなぞった100以上のモデルを搭載している
モデルの
改善機能
検出した脅威に対して、人間のアナリストが分析結果(ラベル情報)をフィードバックし、これを利用して検知モデルの再学習を行う。再学習を重ねることによって、脅威の検出精度が向上し、誤検知率が低下する
価格オープン
発表日2019年8月27日
提供開始日2019年7月1日
備考発表日/提供開始日と価格は、販売代理店であるTwoFiveのもの