Proofpoint Threat Response
Email Security and Threat Protection
インシデント レスポンスの自動化、
オーケストレーションによる脅威の封じ込め
Proofpoint Threat Responseは、セキュリティアラートが起きた際に、豊富なコンテキストデータを適用して インシデントレスポンスを自動化します。この業界初の脅威マネジメントプラットフォームは、すぐに活用できる (actionableな)インテリジェンスを生成し、システムへの感染を確認し、セキュリティ対策を自動または手動で適用 する事ができます。 セキュリティイベントのコンテキスト、フォレンジック及びインテリジェンスを収集/解析することにより、自動または 手動の対策を生成します。このプラットフォームは、検知と防御の間にあった隙間を埋めることにより、脅威を封じ込 め、感染が広がるのを防ぎます。
特徴と利点
Threat Responseによってインシデントレスポンスを加速
手作業による脅威ソースの収集と調査
インシデントレスポンスには、4つの主要な目標があります:
1. 標的となったユーザーとシステムを含む、Who/What/Whereの調査。
2. 標的となったシステムのフォレンジックとサンドボックスフォレンジックレポートの検証。
3. 隔離と封じ込めにより、情報や知的所有権の流出を防止。
4. インシデントレスポンスのKPIを追跡し、インシデントを見逃したり、忘れられたり、残され たりすることを回避。
これらの目標により、どのユーザーが感染したかや脅威の深刻度と緊急度を特定し、フォルス ポジティブを排除し、感染の広がりを抑え、データの流出を防ぐことができます。
自動的なIOC検証による感染の確認
Threat Responseは、標的となったシステムからエンドポイントのフォレンジックデータを収集 し、Indicators of Compromise (脅威の痕跡、IOC)のスナップショットを生成します。IOCデー タにはシステムの最近の変更 (レジストリと修正されたファイル) のリスト、アクティブなプロセ ス、ネットワーク接続などが含まれます。この情報はマルウェア解析システムやその他のシステ ムからのイベントと比較され、クライアントの健康状態を示す指標を提供します。 その他の重要な機能には、攻撃されたシステムの過去の感染についてのチェックがありま す。Threat Responseがオンデマンドでエンドポイントからの情報収集を行う際に、現在の攻 撃についてのIOCだけでなく、Threat Responseがそのサイトで観測した過去の感染に関する IOCもチェックします。これにより、過去の攻撃が永続化しておらず、標的システムから外部に 拡散していないことを迅速かつ効果的に確認できます。
Threat ResponseによるWho/What/Whereの特定
ネットワーク上のどのユーザー、部門、グループが影響を受けたかを即座に特定できます。
「Who」を知ることにより、高い攻撃価値を持つCFOや幹部社員、ファイナンスシステムなど が標的となった場合には、高い優先度を付与することができます。内部のコンテキストとインテリジェンスに加え、外部の因子もまた、セキュリティアラート内の 疑わしいIPやドメインに関する手掛かりを与えてくれます。これらの因子はあらかじめThreat Responseに組込まれており、セキュリティチームのための自動解析に活用されます。
いくつかの主要な外部因子は以下の通りです:
• ドメインの新しさ/最近の登録かどうか。
• ドメインブラックリスト。
• IP及びURLのレピュテーション。
• IPジオロケーション。
脅威の封じ込め
情報の流出を止めるため、ネットワークレベルの変更を即座に保護に反映させます:
- ひとつのシステムから他に広がらないよう、感染を止める。
- マルウェアにコントロールシグナルが到達するのを遮断する。
- 重要情報が外部に流出することを防止。
Threat Responseは、既存のデバイスを使った封じ込めを自動化し、脅威の検知と保護の隙間 をリアルタイムに埋めることができます。