アラートの５分前のパケット。これはIDSで検知したものを、ドライブレコーダーみたいに出すってのはありだな。

ネットワーク監視製品を手掛ける米Savvius（旧WildPackets）は、セキュリティベンダーのディアイティと共同でネットワークフォレンジック製品「Savvius Vigil Security Appliance」を国内展開する。Savvius社長兼CEOのローレンス・ズルック氏は、「セキュリティ機器のアラートから5分前までのパケットが重要だ」と語る。
　Vigil Security Applianceは、セキュリティアナリスト向けのツールとなる。ネットワークのパケットを常に蓄積し、IDS/IPS（不正侵入検知・防御システム）やSIEM（セキュリティインシデント・イベント管理）などのセキュリティ機器と連動する。機器がアラートを発すると、その前後5分以内のパケットデータからアラートに関するものを探し出したり、状況などを詳しく解析したりできる。
ネットワークの全パケットを常時蓄積して、アラートの前後の分だけを解析に利用する
上述のアラートから5分前までのパケットが重要になるという理由についてズルック氏は、「サイバー攻撃が疑われるような重要性の高いアラートを調べる場合、アラートが発生する5分前までの通信にその手掛かりのほとんどが含まれている。現場のセキュリティアナリストの多くが『5分以内のパケットで十分』と話しており、米国の金融業界では5分前までのパケットを蓄積しておくことが推奨されている」と話す。

サイバー攻撃の手がかりはアラート5分前のパケットに――SavviusのCEO - ITmedia エンタープライズ