威胁的反应

威胁反应によってインシデントレスポンスを加速

手作業による脅威ソースの収集と調査

インシデントレスポンスには,4つの主要な目標があります:
1.標的となったユーザーとシステムを含む,谁/什么/哪里の調査。
2.標的となったシステムのフォレンジックとサンドボックスフォレンジックレポートの検証。
3.隔離と封じ込めにより,情報や知的所有権の流出を防止。
4.インシデントレスポンスのKPIを追跡し,インシデントを見逃したり,忘れられたり,残されたりすることを回避。

これらの目標により,どのユーザーが感染したかや脅威の深刻度と緊急度を特定し,フォルスポジティブを排除し,感染の広がりを抑え,データの流出を防ぐことができます。

自動的な奥委会検証による感染の確認

威胁反应は標的となったシステムからエンドポイントのフォレンジックデータを収集し,妥协的指标(脅威の痕跡,IOC)のスナップショットを生成します。国际奥委会データにはシステムの最近の変更(レジストリと修正されたファイル)のリスト,アクティブなプロセス,ネットワーク接続などが含まれます。この情報はマルウェア解析システムやその他のシステムからのイベントと比較され,クライアントの健康状態を示す指標を提供します。その他の重要な機能には,攻撃されたシステムの過去の感染についてのチェックがあります。威胁的反应がオンデマンドでエンドポイントからの情報収集を行う際に、現在の攻 撃についてのIOCだけでなく、Threat Responseがそのサイトで観測した過去の感染に関する IOCもチェックします。これにより、過去の攻撃が永続化しておらず、標的システムから外部に 拡散していないことを迅速かつ効果的に確認できます。

威胁反应による谁/什么/哪里の特定

ネットワーク上のどのユーザー,部門,グループが影響を受けたかを即座に特定できます。

“谁”を知ることにより,高い攻撃価値を持つCFOや幹部社員,ファイナンスシステムなどが標的となった場合には,高い優先度を付与することができます。内部のコンテキストとインテリジェンスに加え,外部の因子もまた,セキュリティアラート内の疑わしいIPやドメインに関する手掛かりを与えてくれます。これらの因子はあらかじめ威胁反应に組込まれており,セキュリティチームのための自動解析に活用されます。

いくつかの主要な外部因子は以下の通りです:
•ドメインの新しさ/最近の登録かどうか。
•ドメインブラックリスト。
•IP及びURLのレピュテーション。
•IPジオロケーション。

脅威の封じ込め

情報の流出を止めるため,ネットワークレベルの変更を即座に保護に反映させます:

• ひとつのシステムから他に広がらないよう,感染を止める。
• マルウェアにコントロールシグナルが到達するのを遮断する。
• 重要情報が外部に流出することを防止。

响应は威胁,既存のデバイスを使った封じ込めを自動化し,脅威の検知と保護の隙間をリアルタイムに埋めることができます。