Darktraceに関する質問・FAQ
Darktrace(ダークトレース)についてよく頂戴するご質問に対する回答をまとめています
Darktrace(ダークトレース)に関するご質問をクリックしてください
- 「Darktraceは誤検知が少ない」と聞きますが、それはなぜですか?
- どの程度の学習期間が必要ですか?
- 脅威を検知した後、通信を遮断することはできますか?
- Darktrace導入時、既にウィルスに感染していた場合、ウィルスを検知することは可能ですか?
- 監視を行いたい機器に、エージェントソフトをインストールする必要はありますか?
- Darktraceの学習・監視のための情報をどこから収集しているのですか?
- 暗号化されている通信が含まれていても脅威を検知することは可能ですか?
- 脅威の発生から検知まで、どのくらいの速度で行えるのでしょうか?
- 検知した各アラートに対して、危険度を把握できるような指標はありますか?
| Q:監視を行いたい機器に、エージェントソフトをインストールする必要はありますか? | |
|---|---|
| A |
エージェントソフトをインストールする必要はありません。 |
| Q:Darktrace導入時、既にウィルスに感染していた場合、ウィルスを検知することは可能ですか? | |
|---|---|
| A |
導入時点でウィルスに感染していた場合でも、Darktraceは検知可能です。 Darktrace社でマルウェア等の機械的な動きや偵察行為などの特有の挙動を ラボ研究によりモデル化しています。 そのため、既にウィルスに感染していたとしても、そのモデルのパターンに合致すれば検出することが可能です。 |
| Q:どの程度の学習期間が必要ですか? | |
|---|---|
| A |
・4週間必要となります。PoV(Proof of Value)を行う場合はPoVの期間を学習期間も兼ねることができます。 ・また、運用開始後もDarktraceは継続して学習を行います。 PoVの概要を確認する |
| Q:Darktraceの学習・監視のための情報をどこから収集しているのですか? | |
|---|---|
| A |
・Darktraceは、ルーターやスイッチからミラーパケットを取得することで学習・監視を行います。 ・そのためお客様の環境を大きく変更することなく、ご導入いただくことが可能です。 |
| Q:暗号化されている通信が含まれていても脅威を検知することは可能ですか? | |
|---|---|
| A |
・Darktraceは主に通信元(source)、宛先(destination)、通信量や通信回数といった値を見て解析するため、 データの中身は検知・解析においてあまり重要な要素とはなりません。 ・そのため、SSL等で暗号化され通信の中身が見えないことでDarktraceの仕組みがまったく機能しない、ということではありません。 |
| Q:「Darktraceは誤検知が少ない」と聞きますが、それはなぜですか? | |
|---|---|
| A |
Darktraceの概念上、「誤検知」ではなく「過検知」になります。 Darktraceでは「教師なし学習」としてゼロベースで学習を行い、環境に特化した形で継続的な学習を行うため、学習期間が長ければ長いほどアラート検出の精度が上がり、過検知の発生頻度が下がることになります。 |
| Q:脅威を検知した後、通信を遮断することはできますか? | |
|---|---|
| A |
Darktraceが脅威を検知した場合に、それをトリガにして自動もしくは手動(管理者の承認に基づく)により 当該異常な通信のみを遮断するなどして被害の拡大を防ぐ「Antigena」がございます。(リンク先にてAntigena対応動作例をご覧いただけます) |
| Q:脅威の発生から検知まで、どのくらいの速度で行えるのでしょうか? | |
|---|---|
| A | トラフィックをキャプチャしたPCAPファイルを解析しているため、多少のタイムラグは生じますが、SIEM等のログ分析を行うシステムに比べるとリアルタイムにかなり近い解析(数秒~数十秒)を行います。 |
| Q:検知した各アラートに対して、危険度を把握できますか? | |
|---|---|
| A |
・アラートの危険度に応じてスコアリングされております。監視用GUI画面(Threat Visualizer)でご確認いただくことができます。 ・また、AIアナリストではサイバーキルチェーンに応じた侵害度合いもご確認いただくことができます。 |
資料ダウンロード
NTT-ATは、Darktrace社の販売代理店です。
