Threat Response

Enriquecimiento, información forense y orquestación, todo automatizado. Acelere la investigación, asigne prioridades a las amenazas y resuelva incidentes en menos tiempo y con menos esfuerzo.

Descripción general

Proofpoint Threat Response elimina el trabajo manual y las conjeturas de la respuesta a incidentes para ayudarle a resolver las amenazas con mayor rapidez y eficiencia. Obtenga una perspectiva procesable de las amenazas con una plataforma de administración de amenazas que automatiza el enriquecimiento de alertas y la recopilación y comparación de información forense. Ponga en cuarentena y confine usuarios, hosts y datos adjuntos malintencionados de correo electrónico, de forma automática o con solo pulsar un botón.

Orquestación y flujo de trabajo a la perfección

Threat Response orquesta varias fases clave del proceso de respuesta a incidentes.  

Ingiere alertas de seguridad a partir de varias herramientas de seguridad. Recopila contexto, historiales de objetivo e inteligencia procedente de fuentes internas y externas. Recopila y analiza la información forense de los extremos.  

Con toda esa información, automatiza los flujos de trabajo y las acciones de respuesta. Compila listas y objetos para la aplicación de políticas y activa las acciones de cuarentena y confinamiento. Mida la eficacia de su respuesta a incidentes con informes generados automáticamente que detallan indicadores de desempeño clave en cada etapa.  

Toda la orquestación se realiza mediante una consola central integrada que se conecta a las fuentes de alertas de seguridad, así como a herramientas integradas de aplicación de políticas y cuarentena. El diseño integrado brinda vistas a simple vista del proceso de respuesta a incidentes para brindar visibilidad en tiempo real.   

La plataforma realiza toda la recopilación, las comparaciones y el análisis de forma automática. Eso significa mayor eficiencia, lo cual permite que los encargados de responder a los incidentes analicen rápidamente los detalles clave, tomen decisiones y entren en acción. Las acciones de cuarentena y confinamiento se realizan al nivel de automatización que usted elija. Puede establecer flujos de trabajo para activar automáticamente las actualizaciones de firewall en algunos casos, mientras que en otros se elaboran sencillas listas de bloqueo para el control de cambios.

Proofpoint Threat Response Demo

Recopilación de datos forenses y verificación de indicadores de compromiso

Por muy escurridizo que sea el malware, las infecciones suelen dejar siempre signos reveladores en los endpoints. A estos signos se les conoce como indicadores de compromiso (del inglés, IOC). Threat Response confirma automáticamente las infecciones de malware mediante la verificación integrada de los indicadores de compromiso.

Estos indicadores pueden incluir:

  • Procesos
  • Semáforos Mutex
  • Cambios en el sistema de archivos
  • Cambios en el Registro
  • Historial de páginas web 

Cuando una alerta de seguridad informa de que un sistema ha recibido un ataque de malware, Threat Response despliega automáticamente un recopilador de datos de endpoints para extraer la información forense del sistema. Estos datos se contrastan con una base de datos de indicadores de compromiso (peligro) conocidos para confirmar rápidamente si el sistema está infectado con IOC relacionados con el ataque actual. Los equipos también pueden obtener visibilidad de los IOC de ataques anteriores que no fueron eliminados. Esta verificación integrada de infecciones puede ahorrar mucho tiempo en cada incidente. Asimismo, reduce enormemente el número de falsos positivos que obligan a ciclos innecesarios de restablecimiento de imágenes y restauración de las copias de seguridad. Los recopiladores de datos forenses de endpoints se despliegan bajo demanda en los sistemas sospechosos de estar infectados (no es necesario preinstalarlos). El recopilador se ejecuta temporalmente en memoria y se desinstala cuando ha terminado su tarea.

Conocimiento de contextos y situaciones

Muchas alertas de seguridad carecen de la información necesaria para determinar el contexto de una amenaza y los pasos a tomar. Threat Response enriquece automáticamente las alertas de seguridad al recopilar contexto, inteligencia y datos importantes, tanto internos como externos, así como los datos que crean una vista procesable de cada alerta. Equipados con ese conocimiento, los grupos de seguridad pueden comprender, asignar prioridades y responder a las amenazas a la seguridad con rapidez. Con Threat Response, los grupos de seguridad pueden contestar con prontitud preguntas como:  

  • ¿Qué usuarios están siendo atacados?
  • ¿Se han infectado antes los usuarios afectados?
  • ¿Bajo qué departamento o grupo se encuentran los usuarios afectados?
  • ¿Contiene alguno de los sistemas afectados indicadores de algún ataque que haya logrado su objetivo?
  • ¿Se ha visto este ataque anteriormente en nuestro entorno o en alguna otra parte?
  • ¿De dónde procede el ataque y dónde se encuentran los nodos de mando y control (C&C)?
  • ¿Contiene el historial de explorador y conexión algo inusual, tales como visitas a sitios web sospechosos o conexiones abiertas con servidores C&C?

Cuarentena y contención sencillas

Threat Response se integra con las herramientas de su infraestructura de seguridad actuales para bloquear las amenazas comprobadas, poner en cuarentena a los usuarios infectados y proteger a otros usuarios impidiendo la propagación de la infección.

Por ejemplo, Threat Response puede actualizar la pertenencia a grupos de Active Directory de los usuarios para: 

  • Restringir el acceso a sitios web de intercambio de archivos.
  • Controlar el acceso VPN.
  • Actualizar los sistemas de control de acceso a la red (NAC) y de control de aplicaciones.

La capacidad de actualizar listas de bloqueo en herramientas de control le protege al restringir el acceso a páginas web y URL que utilizan filtros web. Puede permitir o denegar las conexiones de la red a sitios web muy visitados comprometidos ("watering-hole") y a dominios y hosts delictivos.

Los mensajes de correo electrónico que tienen adjuntos maliciosos pueden moverse a una zona segura en cualquier momento, incluso después de haber sido entregados. Esto evita el riesgo de que sus empleados hagan clic en los adjuntos de nuevo.

Demostración de Threat Response

Nuestros expertos de producto le muestran cómo gestionar las amenazas de una forma más eficaz con el enriquecimiento, investigación forense y orquestación automatizados para acelerar su trabajo de investigación, priorizar las amenazas y resolver los incidentes en menos tiempo y con menor esfuerzo.

Soporte, servicios y formación

Ofrecemos soporte, servicios y formación en todo el mundo para sacar el máximo partido a su inversión.