Threat Response

Automatische Anreicherung, Forensik und Orchestrierung. Beschleunigen Sie die Untersuchung, kategorisieren Sie Bedrohungen und lösen Sie Vorfälle mit weniger Zeit und Aufwand.

Übersicht

Proofpoint Threat Response enliminiert manuelle Arbeiten und Spekulationen bei der Vorfallbehandlung, damit Sie Bedrohungen schneller und effektiver entgegentreten können. Erhalten Sie eine bearbeitungsfähige Ansicht der Bedrohungen mit einer Threat-Management-Plattform, die Alarmanreicherung und forensische Erfassung und Vergleiche automatisiert. Isolieren und begrenzen Sie Benutzer, Hosts und bösartige E-Mail-Anhänge automatisch oder auf Knopfdruck.

Nutzen und Funktionen

Nahtlose Orchestrierung und Workflow

Threat Response orchestriert mehrere Schlüsselphasen der Vorfallsreaktion.  

Sie nimmt die Sicherheitswarnungen mehrerer Sicherheits-Tools auf. Sie erfasst Kontext, Zielverläufe und Intelligenz von internen und externen Quellen. Sie erfasst und analysiert die Endpunkt-Forensik.  

Mit diesen gesammelten Informationen werden Workflows und Reaktionen automatisiert. Sie erstellt Listen und Objekte zur Durchsetzung und aktiviert Quarantäne- und Eindämmungsaktionen. Die Effektivität Ihrer Vorfallsreaktion wird anhand automatisch generierter Berichte gemessen, die über die wichtigsten Leistungsindikatoren auf jeder Stufe berichten.  

Die gesamte Orchestrierung wird durch eine integrierte, zentrale Konsole durchgeführt, die eine Verbindung zu den Sicherheitsalarmquellen sowie den integrierten Durchsetzungs- und Quarantäne-Tools herstellt. Das integrierte Design macht die Vorfallsreaktion in Echtzeit auf einen Blick sichtbar.   

Die gesamte Erfassung, alle Vergleiche und Analysen werden von der Plattform aus automatisch durchgeführt. Das bedeutet eine erhöhte Effizienz, die ihrerseits Vorfalls-Responder befähigt, die wichtigsten Details schnell anzusehen, eine Entscheidung zu treffen und Maßnahmen zu ergreifen. Quarantäne- und Eindämmungsaktionen arbeiten auf der von Ihnen gewählten Automationsebene. Sie können in manchen Fällen Workflows einstellen, um Firewall-Aktualisierungen automatisch auszulösen, während in anderen Fällen eine einfache Sperrliste zur Änderung der Kontrolle aufgebaut wird.

Fenwick & West, LLP

„Threat Response bietet unserem Team tiefe, kontextbezogene Daten für jeden Vorfall und unterstützt verschiedene Netzwerk-Durchsetzungsoptionen. Das ist unser automatischer Incident Response-Analytiker.“

— Kevin Moore, Director of Information Technology bei Fenwick & West, LLP 

Forensische Erfassung und IOC-Verifizierung

Auch wenn die Malware noch so schwer zu erfassen ist, Infektionen hinterlassen oft verräterische Anzeichen an den Endpunkten.  Diese werden IOCs (Indicators of Compromise) genannt. Durch die eingebaute ICO-Bestätigung verifiziert Threat Response Malware-Infektionen automatisch. 

  • Diese IOCs können Folgendes umfassen: 
  • Prozesse
  • Mutexe
  • Änderungen am Dateisystem
  • Registrierungsänderungen
  • Webpage-Verlauf  

Wenn ein Sicherheitsalarm ein System meldet, das von Malware betroffen ist, stellt Threat Response automatisch einen Endpunkt-Kollektor bereit, um forensische Daten vom betroffenen System zu erfassen. Diese Daten werden mit einer Datenbank bekannter IOCs verglichen, um schnell zu bestätigen, ob ein System mit IOCs infiziert ist, die mit der aktuellen Attacke zusammenhängen. Durch vorherige Angriffe, die noch nicht bereinigt wurden, erhalten Teams mehr Transparenz in IOCs. Diese eingebaute Infektionsbestätigung kann bei jedem Vorfall Stunden sparen. Und sie reduziert die Anzahl zeitraubender falscher Positivmeldungen, die unnötige Neuaufnahmen und Sicherungswiederherstellungszyklen nach sich ziehen. Die forensischen Endpunkt-Kollektoren werden den mutmaßlich infizierten Systemen nach Bedarf bereitgestellt – sie müssen nicht vorinstalliert werden.   Der Kollektor wird vorübergehend im Speicher ausgeführt und wird nach Abschluss wieder deinstalliert.

Kontext und Situationsbewusstsein

Vielen Sicherheitswarnungen mangelt es an wichtigen Informationen, die zur Feststellung des Zusammenhangs einer Bedrohung und der nächsten Schritte erforderlich sind. Threat Response bereichert die Sicherheitswarnungen automatisch durch die Erfassung wichtiger interner und externer Zusammenhänge, Intelligenz und Daten, um eine bearbeitungsfähige Ansicht aller Warnungen anzuzeigen. Mit diesen Einblicken bewaffnet können Sicherheitsteams Sicherheitsbedrohungen schnell verstehen, priorisieren und darauf reagieren. 

Mit Threat Response können Sicherheitsteams schnell Fragen beantworten, wie z. B.: 

  • Welche Benutzer werden angegriffen?
  • Waren die betroffenen Benutzer bereits früher infiziert?
  • Welcher Abteilung oder Gruppe unterstehen die betroffenen Benutzer?
  • Enthalten die betroffenen Systeme Anzeigen eines erfolgreichen Angriffs?
  • Wurde dieser Angriff zuvor in Ihrer Umgebung oder anderswo gesehen?
  • Woher kommt der Angriff und wo befinden sich die C&C-Knoten?
  • Weisen Browser- oder Verbindungsverlauf ungewöhnliches auf, wie beispielsweise eine verdächtige Website oder offene Verbindungen zu C&C-Servern?

Einfach Isolierung und Eindämmung

Threat Response wird mit Ihrer aktuellen Sicherheitsinfrastruktur integriert, um bestätigte Bedrohungen zu blockieren, infizierte Benutzer zu isolieren und andere Benutzer zu schützen, damit sich die Infektion nicht ausbreitet. 

Threat Response kann beispielsweise die Active Directory-Gruppenmitgliedschaft der betroffenen Benutzer folgendermaßen aktualisieren: 

  • Beschränkter Zugriff auf Filesharing-Websites
  • Kontrollierter VPN-Zugang
  • Aktualisierung von Network Access Controll (NAC) und Application Control Systems

Die Möglichkeit, Sperrlisten auf Durchsetzungs-Tools zu aktualisieren, schützt Sie mithilfe von Webfiltern durch beschränkten Zugriff auf Webseiten und URLs.  Sie können Netzwerkverbindungen zu schadhaften Watering-Hole“-Sites und kriminellen Domänen und Hosts zulassen oder ablehnen.

E-Mails mit bösartigen Anhängen können jederzeit an einen sicheren Bereich verschoben werden – selbst wenn Sie bereits ausgeliefert wurden. Auf diese Weise wird das Risiko gemindert, dass Ihr Personal erneut auf diese Anhänge klickt.

Threat Response Demo

Unsere Produktexperten zeigen Ihnen, wie Bedrohungen mit automatischer Bereicherung, Forensik und Orchestrierung für eine schnellere Untersuchung, Kategorisierung von Bedrohungen und Lösung von Vorfällen in weniger Zeit mit geringerem Aufwand effektiver verwaltet werden.

Support, Services und Schulung

Wir bieten erstklassigen Support, Service und Schulungen zur Maximierung Ihrer Investition.