Talk to sales

Ask a member of our sales team about our products or services:

Threat Response

Automatische Informationsanreicherung, Forensik und Orchestrierung. Beschleunigen Sie Ihre Überprüfungen, kategorisieren Sie Bedrohungen und reagieren Sie auf Vorfälle in kürzester Zeit und mit weniger Aufwand.

Übersicht

Mit Proofpoint Threat Response können Sie schneller und effektiver auf Bedrohungen reagieren, da manuelle Arbeiten entfallen und Sie nicht darüber spekulieren müssen, wie Sie mit Ereignissen umgehen sollen. Sie erhalten einen unmittelbar nutzebaren Überblick über die Bedrohungen und eine Threat-Management-Plattform, die Alarme mit zusätzlichen Informationen anreichert und die Sammlung und den Vergleich forensischer Daten automatisiert. Sie können Benutzer, Hosts und schadhafte E-Mail-Anhänge automatisch oder auf Knopfdruck beschränken beziehungsweise in Quarantäne nehmen.

Nutzen und Funktionen

Nahtlose Orchestrierung und Workflow

Threat Response orchestriert mehrere wichtige Phasen bei der Reaktion auf bestimmte Ereignisse.  

Die Lösung nutzt die Sicherheitswarnungen mehrerer Sicherheits-Tools. Sie erfasst den Kontext, Zielverläufe und Informationen von internen und externen Quellen. Zudem nutzt die Lösung die forensischen Daten am Endpunkt und analysiert diese.

Mit diesen gesammelten Informationen werden Workflows und Reaktionen automatisiert. Threat Response erstellt Listen und Objekte, um die Quarantäne zu aktivieren und Behebungsmaßnahmen durchzusetzen. Die Effektivität Ihrer Reaktion auf Ereignisse wird anhand automatisch generierter Berichte bewertet, die Aufschluss über die wichtigsten Leistungsindikatoren auf jeder Ebene geben.

Die gesamte Orchestrierung wird mit einer integrierten, zentralen Konsole durchgeführt, die eine Verbindung zu den Quellen der Sicherheitsalarme sowie den integrierten Tools für die Quarantäne und Durchsetzung der Maßnahmen herstellt. Das integrierte Design verschafft Nutzern einen Überblick über die Reaktionen auf Ereignisse in Echtzeit und sorgt damit für vollkommene Transparenz.

Die Plattform führt die gesamte Erfassung, alle Vergleiche und Analysen automatisch durch. Das steigert die Effizienz, denn so ist es möglich, die wichtigsten Details schnell anzusehen, eine Entscheidung zu treffen und Maßnahmen zu ergreifen. Für die Maßnahmen einer Quarantäne oder einer können Sie das von Ihnen gewählten Automationslevel wählen. Sie können auch Workflows erstellen, um Firewall-Aktualisierungen automatisch auszulösen, oder auch eine einfache Block-List für die Kontrolle der Änderungen erstellen.

Proofpoint Threat Response Demo

Sammlung forensischer Daten und IOC-Verifizierung

Auch wenn Malware oft schwer zu erfassen ist, hinterlassen Infektionen meist verräterische Spuren auf den Endpunkten. Diese werden IOCs (Indicators of Compromise) genannt. Dank der integrierten ICO-Verifizierung deckt Threat Response Malware-Infektionen automatisch auf.

  • Diese IOCs können Folgendes umfassen: 
  • Prozesse
  • Mutexe (Mutual Exclusions)
  • Änderungen am Dateisystem
  • Anderungen an der Registry
  • Webpage-Verläufe

Wenn ein Sicherheitsalarm ein System meldet, das von Malware betroffen ist, stellt Threat Response automatisch einen Endpunkt-Kollektor bereit, um forensische Daten vom betroffenen System zu erfassen. Diese Daten werden mit einer Datenbank bekannter IOCs verglichen, um schnell feststellen zu können, ob es sich bei der aktuelle Attacke um einen bekannten IOC handelt. Sicherheitsverantwortliche erhalten auch einen Einblick in IOCs früherer Angriffe, die noch nicht bereinigt wurden. Diese integrierte Verifizierung von Infektionen kann im Falle eines sicherheitsrelevanten Ereignisses Stunden sparen. Zudem sinkt die Zahl zeitraubender falscher Positivmeldungen (False-Positives), die unnötige Wiederherstellungszyklen aus Images und Backups nach sich ziehen. Die Kollektoren für die Aufnahme von forensischen Daten am Endpunkt müssen nicht vorab installiert werden, sie werden bei Bedarf für die mutmaßlich infizierten Systeme bereitgestellt. Der Kollektor wird vorübergehend im Speicher ausgeführt und wird nach Abschluss wieder deinstalliert.

Kontext und Erkennung der Lage

Vielen Sicherheitswarnungen mangelt es an wichtigen Informationen, die für die Feststellung des Zusammenhangs einer Bedrohung und der nächsten Schritte erforderlich sind. Threat Response reichert die Sicherheitswarnungen automatisch durch die Erfassung wichtiger interner und externer Zusammenhänge und Daten an, um einen nachvollziehbaren Einblick aller Warnungen zu schaffen. Mit diesen Übersichten können Sicherheitsteams Sicherheitsbedrohungen schnell verstehen, priorisieren und darauf reagieren.

Mit Threat Response können Sicherheitsverantwortliche schnell Fragen beantworten, wie z. B.:

  • Welcher Abteilung oder Gruppe unterstehen die betroffenen Nutzer?
  • Enthalten die betroffenen Systeme Meldungen zu einem erfolgreichen Angriff?
  • Welcher Abteilung oder Gruppe unterstehen die betroffenen Benutzer?
  • Enthalten die betroffenen Systeme Anzeigen eines erfolgreichen Angriffs?
  • Ist dieser Angriff zuvor in Ihrer Umgebung oder an anderer Stelle aufgetreten?
  • Woher kommt der Angriff und wo befinden sich die C&C-Knoten?
  • Weisen Browser- oder Verbindungsverlauf Ungewöhnliches auf, wie beispielsweise eine verdächtige Website oder offene Verbindungen zu C&C-Servern?

Einfache Isolierung und Eindämmung

Threat Response wird in Ihre aktuelle Sicherheitsinfrastruktur integriert, um bestätigte Bedrohungen zu blockieren, infizierte Benutzer zu isolieren und andere Benutzer zu schützen, damit sich die Infektion nicht ausbreitet.

Threat Response kann beispielsweise die Active Directory-Gruppenmitgliedschaft der betroffenen Benutzer folgendermaßen aktualisieren: 

  • Beschränkter Zugriff auf Filesharing-Websites
  • Kontrollierter VPN-Zugang
  • Aktualisierung von Network Access Controll (NAC) und Application Control Systems

Die Möglichkeit, die Block-Listen der Tools für die Durchsetzung zu aktualisieren, schützt Sie mithilfe von Webfiltern durch beschränkten Zugriff auf Webseiten und URLs. Sie können Netzwerkverbindungen zu schadhaften „Watering-Hole“-Sites sowie kriminellen Domänen und Hosts zulassen oder ablehnen.

E-Mails mit schadhaften Anhängen können jederzeit in einen abgesicherten Bereich verschoben werden – selbst wenn diese bereits zugestellt wurden. Auf diese Weise wird das Risiko verringert, dass die Mitarbeiter erneut auf diese Anhänge klicken.

Threat Response Demo

Unsere Produktexperten zeigen Ihnen, wie Bedrohungen mit automatischer Anreicherung von Informationen, Forensik und Orchestrierung für eine schnellere Untersuchung, Kategorisierung von Bedrohungen und Lösung von sicherheitsrelevanten Ereignissen in kürzester Zeit und mit geringerem Aufwand effektiver verwaltet werden.

Support, Services und Schulung

Wir bieten erstklassigen Support, Service und Schulungen zur Maximierung Ihrer Investition.