概要

THXは株式会社テリロジーワークスが独自に開発するスレットハンティング・ソリューションです。ネットワークを流れるトラフィックをキャプチャ・保存し、これを分析することにより従来可視化できなかったリスクを明らかにするためのプラットフォームとして活用することが可能です。最も基本的な機能である「パケット情報の的確な収集と蓄積」に加え、「パケットから抽出した各種情報を提供する」機能が備わっており、外部からのスレットインテリジェンスを併用することにより、効率的にスレットハンティングを行うことが可能となります。

特徴

  1. 1G/10Gネットワークにおける、正確なパケットデータ収集能力で1秒あたり最大で約15,000,000パケットの処理が可能
  2. パケットから有益な情報を抽出する10種類以上の各種ローダーを装備し、HTTP、DNS、VLAN、IoT関連プロトコルなどに対応
  3. 抽出された情報をもとに脅威分析を行うモジュールを提供し、過去のアクセスに対する遡及調査(過去の侵入リスク検知と潜伏リスクの可視化)などを実現

ラインナップ

THX Capture

THXプラットフォームのキャプチャエンジンとなるTHX Captureは、大容量トラフィックのネットワークにおいても的確に連続稼働し続けることのできるパケットキャプチャ装置です。パケットを利用して脅威を詳細に分析するためには、パケットそのものが正しく記録・保存されていなくてはなりません。THX Captureは、ハードウェアレベルではハードディスクのRAID構成や電源冗長化を行うことで長期の無停止運転を可能にしています。また、ソフトウェアレベルではリングバッファにより多重化されたパケット受信機構やバースト耐性を向上させるメモリキャッシュの採用で大量のパケット数に対応することが可能です。

また、ユーザニーズに合わせてデータ保存容量を3.6TB~65TBの7機種から選択可能です。さらに大容量長期保存が必要な場合、後述のTHX Storageとの併用により、数100TBのデータを蓄積することができます。

THX Capture 単独構成例

THX Capture 1台でキャプチャとクエリ処理に対応します。

※THX-C 3600以外はキャプチャサーバ+JBODの構成

THX Storage

THX StorageはTHX Captureで取得したデータを長期保存するための拡張ストレージ装置です。また、THX Captureとは独立したStorage装置に実装されたCPUでデータ処理を行うため、蓄積した大量データへのクエリの処理などのデータ収集以外の処理をCaptureから切り離すことが可能であり、処理の分散と稼働安定性の向上を実現できます。

拡張可能な容量は11TB~352TBの8機種から選択可能です。またすべての機種でハードディスクのRAID構成及び電源冗長化が行われています。

さらに、THX Storageにはセキュリティ分析用モジュール(後述するTHX Retro Active Analysis)を搭載することができ、パケットから抽出した各種情報と外部のスレットインテリジェンスを利用したスレットハンティング支援機能をご利用いただけます。

THX Capture+Storage 構成例

THX StorageはストレージサーバとJBODのセットであり、必ずTHX Captureと組み合わせて利用します。

※搭載HDDはTHX-S 192Kと352Kのみ3.5インチ、その他は2.5インチ搭載モデル

THX Retro Active Analysis

既存のセキュリティソリューションの多くが、ブロックリストを常に最新状態に更新し、これを使用して外部からの侵入を検知する機能を持っています。これらの機器で問題になるのは、ゼロデイ攻撃への対処です。サイバー空間での攻防においては、常に攻撃者優位であるため、ゼロデイを阻止することは非常に困難と言えますが、一方で、攻撃初期に侵入したマルウェアがシステムに実害を及ぼしたり、情報を外部に流出させるまでには、しばらくの潜伏期間(Dwell Time)があるのが普通です。この期間に潜伏しているリスクを発見し、対応することができれば、そのリスクが実際のインシデントになってしまうのを防げる確率が向上します。

THX Retro Active Analysis は、各ノードが過去に行ったネットワークアクセスの履歴をパケットから抽出し、それらの履歴情報に外部のスレットインテリジェンス情報を突合させることにより、対象ノードが過去に高リスクのドメイン・URL・IPアドレスなどにアクセスしていないかを調査し、結果を管理者に報告します。

さらに、該当する脅威をより詳細に調査するために、スレットインテリジェンスベンダーの提供する情報を検索・参照したり、ノード間の通信を可視化してラテラルムーブメントの可能性を検討することもできます。