Threat Response - Automatisierte IT Sicherheit

Automatische Informationsanreicherung, Forensik und Orchestrierung für Ihre IT Sicherheit. Beschleunigen Sie Ihre Überprüfungen, kategorisieren Sie Bedrohungen und reagieren Sie auf Vorfälle in kürzester Zeit und mit weniger Aufwand, um effektiv Malware erkennen zu können.

Übersicht

Mit Proofpoint Threat Response können Sie schneller und effektiver auf Bedrohungen reagieren und Malware erkennen, da manuelle Arbeiten entfallen und Sie nicht darüber spekulieren müssen, wie Sie mit Ereignissen umgehen sollen. Sie erhalten einen unmittelbar nutzbaren Überblick über die Bedrohungen der IT Sicherheit Ihres Unternehmens und eine Threat-Management-Plattform, die Alarme mit zusätzlichen Informationen anreichert und die Sammlung und den Vergleich forensischer Daten automatisiert. Sie können Benutzer, Hosts und schadhafte E-Mail-Anhänge automatisch oder auf Knopfdruck beschränken beziehungsweise in Quarantäne nehmen.

Nutzen und Funktionen

Nahtlose Orchestrierung und Workflow

Threat Response orchestriert mehrere wichtige Phasen bei der Reaktion auf bestimmte IT-Sicherheit-Ereignisse.  

Die Lösung nutzt die Sicherheitswarnungen mehrerer Sicherheits-Tools. Sie erfasst den Kontext, Zielverläufe und Informationen von internen und externen Quellen. Zudem nutzt die Lösung die forensischen Daten am Endpunkt und analysiert diese.

Mit diesen gesammelten Informationen werden Workflows und Reaktionen automatisiert. Threat Response erstellt Listen und Objekte, um die Quarantäne zu aktivieren und Behebungsmaßnahmen durchzusetzen. Die Effektivität Ihrer Reaktion auf Ereignisse wird anhand automatisch generierter Berichte bewertet, die Aufschluss über die wichtigsten Leistungsindikatoren auf jeder Ebene geben.

Die gesamte Orchestrierung wird mit einer integrierten, zentralen Konsole durchgeführt, die eine Verbindung zu den Quellen der Sicherheitsalarme sowie den integrierten IT-Sicherheits-Tools für die Quarantäne und Durchsetzung der Maßnahmen herstellt. Das integrierte Design verschafft Nutzern einen Überblick über die Reaktionen auf Ereignisse in Echtzeit und sorgt damit für vollkommene Transparenz.

Die IT-Sicherheits-Plattform führt die gesamte Erfassung, alle Vergleiche und Analysen automatisch durch. Das steigert die Effizienz, denn so ist es möglich, die wichtigsten Details schnell anzusehen, eine Entscheidung zu treffen und Maßnahmen zu ergreifen. Für die Maßnahmen einer Quarantäne oder einer können Sie das von Ihnen gewählten Automationslevel wählen. Sie können die Automatisierungsstufe einstellen als auch Workflows erstellen, um Firewall-Aktualisierungen automatisch auszulösen, oder auch eine einfache Block-List für die Kontrolle der Änderungen erstellen.

Proofpoint Threat Response Demo

Sammlung forensischer Daten und IOC-Verifizierung

Auch wenn Malware erkennen oft sehr komplex sein kann, hinterlassen Infektionen meist verräterische Spuren auf den Endpunkten. Diese werden IOCs (Indicators of Compromise) genannt. Dank der integrierten ICO-Verifizierung deckt Threat Response Malware-Infektionen automatisch auf.

  • Diese IOCs können Folgendes umfassen: 
  • Prozesse
  • Mutexe (Mutual Exclusions)
  • Änderungen am Dateisystem
  • Änderungen an der Registry
  • Webpage-Verläufe

Wenn ein Sicherheitsalarm ein System meldet, das von Malware betroffen ist, stellt Threat Response automatisch einen Endpunkt-Kollektor bereit, um forensische Daten vom betroffenen System zu erfassen. Diese Daten werden mit einer Datenbank bekannter IOCs verglichen, um schnell feststellen zu können, ob es sich bei der aktuellen Attacke um einen bekannten IOC handelt. Sicherheitsverantwortliche erhalten auch einen Einblick in IOCs früherer Angriffe, die noch nicht bereinigt wurden. Diese integrierte Verifizierung von Infektionen kann im Falle eines sicherheitsrelevanten Ereignisses wertvolle Zeit sparen. Zudem sinkt die Zahl zeitraubender falscher Positivmeldungen (False-Positives), die unnötige Wiederherstellungszyklen aus Images und Backups nach sich ziehen. Die Kollektoren für die Aufnahme von forensischen Daten am Endpunkt müssen nicht vorab installiert werden, sie werden bei Bedarf für die mutmaßlich infizierten Systeme bereitgestellt. Der Kollektor wird vorübergehend im Speicher ausgeführt und wird nach Abschluss wieder deinstalliert.

Kontext und Erkennung der Lage

Vielen IT Sicherheits-Warnungen mangelt es an wichtigen Informationen, die für die Feststellung des Zusammenhangs einer Bedrohung erforderlich sind. Threat Response reichert die Sicherheitswarnungen automatisch durch die Erfassung wichtiger interner und externer Zusammenhänge und Daten an, um einen nachvollziehbaren Einblick aller Warnungen zu schaffen. Mit diesen Übersichten können Sicherheitsteams Sicherheitsbedrohungen schnell verstehen, priorisieren und darauf reagieren.

Mit Threat Response können IT Sicherheitsverantwortliche schnell Fragen beantworten, wie z. B.:

  • Welcher Abteilung oder Gruppe unterstehen die betroffenen Nutzer?
  • Enthalten die betroffenen Systeme Meldungen zu einem erfolgreichen Angriff?
  • Ist dieser Angriff zuvor in Ihrer Umgebung oder an anderer Stelle aufgetreten?
  • Woher kommt der Angriff und wo befinden sich die C&C-Knoten?
  • Weisen Browser- oder Verbindungsverlauf Ungewöhnliches auf, wie beispielsweise eine verdächtige Website oder offene Verbindungen zu C&C-Servern?
Die beste IT-Sicherheit für Ihr Unternehmen mit Threat Response von Proofpoint

Einfache Isolierung und Eindämmung von Malware

Threat Response wird in Ihre aktuelle IT-Sicherheitsinfrastruktur integriert, um bekannte Bedrohungen zu blockieren, infizierte Benutzer zu isolieren und andere Benutzer zu schützen, damit sich die Infektion nicht ausbreitet.

Threat Response kann beispielsweise die Active Directory-Gruppenmitgliedschaft der betroffenen Benutzer folgendermaßen aktualisieren: 

  • Beschränkter Zugriff auf Filesharing-Websites
  • Kontrollierter VPN-Zugang
  • Aktualisierung von Network Access Control (NAC) und Application Control Systems (ACS)

Die Möglichkeit, die Block-Listen der Tools für die Durchsetzung zu aktualisieren, schützt Sie mithilfe von Webfiltern durch beschränkten Zugriff auf Webseiten und URLs. Sie können Netzwerkverbindungen zu schadhaften „Watering-Hole“-Sites sowie kriminellen Domänen und Hosts zulassen oder ablehnen.

E-Mails mit schadhaften Anhängen können jederzeit in einen abgesicherten Bereich verschoben werden – selbst wenn diese bereits zugestellt wurden. Auf diese Weise wird das Risiko verringert, dass die Mitarbeiter erneut auf diese Anhänge klicken.

Threat Response Demo

Unsere Produktexperten zeigen Ihnen, wie Bedrohungen mit automatischer Anreicherung von Informationen, Forensik und Orchestrierung für eine schnellere Untersuchung, Kategorisierung von Bedrohungen und Lösung von sicherheitsrelevanten Ereignissen in kürzester Zeit und mit geringerem Aufwand effektiver verwaltet werden.

Support, Services und Schulung

Wir bieten erstklassigen Support, Service und Schulungen zur Maximierung Ihrer Investition.