Threat Response - Réponse aux Incidents Informatiques

Advanced Threat Protection


Proofpoint Threat Response élimine le travail manuel et les hypothèses de la réponse aux incidents, afin de vous aider à résoudre les menaces et les incidents plus rapidement et plus efficacement. Bénéficiez d'une vue concrète des menaces grâce à une plateforme de gestion des menaces qui automatise l'enrichissement des alertes et la collecte et les comparaisons résultant des investigations. Mettez en quarantaine et isolez les utilisateurs, les hôtes et les pièces jointes malveillantes - automatiquement ou d'une simple pression sur un bouton.

Fonctionnalités et avantages de Proofpoint Threat response

Orchestration et flux de travail transparents

Threat Response orchestre plusieurs phases clés du processus de réponse aux incidents.  

Il ingère les alertes de sécurité provenant de multiples outils. Il collecte le contexte, l'historique des cibles et les données de surveillance auprès de sources internes et externes. Et il recueille et analyse les résultats des investigations informatiques sur les points d'accès.  

Grâce à toutes ces informations, Threat Response automatise les flux de travail et les actions de réponse. Il génère des listes et des objets pour appliquer ses règles et lance des actions de mise en quarantaine et de confinement. Mesurez l'efficacité de votre réponse aux incidents grâce à des rapports générés automatiquement, qui détaillent les indicateurs clés de performance à chaque étape.  

Collection Forensic et de vérification des indicateurs de compromission

Même lorsque les logiciels malveillants sont très furtifs, les infections laissent souvent des traces révélatrices au niveau des points d'accès. C'est ce que l'on appelle les indicateurs de compromission. Threat Response confirme automatiquement les infections par des logiciels malveillants grâce à la vérification intégrée des indicateurs de compromission.  

Ces indicateurs de compromission peuvent comprendre:  

  • Les processus
  • Les mutexes
  • Les changements du système de fichiers
  • Les changements de registre
  • L'historique des pages Web   

Lorsqu'une alerte de sécurité signale qu'un système a été ciblé par un logiciel malveillant, Threat Response déploie automatiquement un collecteur de point d'accès pour extraire les données d'investigation sur le système ciblé. Ces données sont ensuite comparées à une base de données appelée Indicateurs de compromission afin de vérifier rapidement si un système est infecté par des indicateurs de compromission liés à l'attaque en cours. Les équipes peuvent également visualiser les indicateurs de compromission visés par des attaques antérieures et qui n'ont pas été nettoyés. Cette vérification intégrée des infections permet de gagner des heures lors de chaque incident informatique. De plus, elle réduit considérablement le nombre de faux positifs fastidieux qui aboutissent à des cycles inutiles de modification d'image et de restauration depuis des sauvegardes. Les collecteurs d'investigation au niveau des points d'accès se déploient à la demande sur les systèmes soupçonnés d'être infectés - aucune préinstallation n'est requise. Le collecteur s'exécute temporairement dans la mémoire et se désinstalle une fois son travail terminé.

Prise de conscience du contexte et de la situation de l'incident

De nombreuses alertes de sécurité ne disposent pas de certaines informations critiques requises pour déterminer le contexte d'une menace et les étapes suivantes. Threat Response enrichit automatiquement les alertes de sécurité en collectant le contexte interne et externe pertinent, les informations de surveillance et les données importantes pour créer pour chaque alerte une vue qui peut donner lieu à des actions. Munies de ce point de vue, les équipes de sécurité sont alors à même de comprendre, de hiérarchiser et de répondre rapidement aux menaces de sécurité.  

Avec Threat Response, les équipes de sécurité peuvent rapidement répondre aux questions telles que :  

  • Quels sont les utilisateurs ciblés par une attaque ?
  • Les utilisateurs concernés ont-ils déjà été infectés au préalable ?
  • À quel service ou à quel groupe appartiennent les utilisateurs concernés ?
  • Certains systèmes affectés contiennent-ils des signes indicateurs d'une attaque réussie ?
  • Cette attaque a-t-elle déjà été utilisée auparavant, dans notre environnement ou ailleurs ?
  • D'où provient cette attaque et où se trouvent les nœuds de contrôle et de commande ?
  • L'historique du navigateur ou de la connexion contient-il des éléments inhabituels, tels que des consultations d'un site Web suspect ou des connexions ouvertes à des serveurs de contrôle et de commande ?

Mise en quarantaine et confinement faciles

Threat Response s'intègre à vos outils existants d'infrastructure de sécurité pour bloquer les menaces avérées, mettre en quarantaine les utilisateurs infectés et protéger les autres utilisateurs en arrêtant la propagation de l'infection.  

Par exemple, Threat Response peut mettre à jour les adhésions des utilisateurs ciblés au groupe Active Directory pour :  

  • Limiter l'accès aux sites Web de partage de fichiers 
  • Contrôler l'accès au réseau VPN
  • Mettre à jour les systèmes de contrôle d'accès réseau (NAC) et de contrôle d'accès aux applications

La capacité à mettre à jour les listes de blocs sur les outils d'application vous protège en limitant l'accès aux pages Web et aux URL à l'aide de filtres Web. Vous pouvez autoriser ou refuser les connexions réseau aux sites de type « watering-hole » compromis, ainsi qu'aux domaines et aux hôtes criminels.

Les courriers électroniques contenant des pièces jointes malveillantes peuvent être déplacés vers un lieu sécurisé à tout moment, même après leur envoi. Cela élimine le risque que vos employés ne cliquent à nouveau sur les pièces jointes.

Démo Threat Response

Nos spécialistes des produits décrivent comment gérer les menaces plus efficacement grâce à l'enrichissement automatisé, à l'investigation et à l'orchestration afin d'accélérer votre enquête, de hiérarchiser les menaces et de résoudre les incidents moyennant moins de temps et d'efforts.

En Savoir Plus
Support Technique, Services et Formations

Nous fournissons une assistance, des services et des formations de classe internationale pour maximiser votre investissement.

Consultez Nos Services D'assistance

Demo

Proofpoint Threat Response

Enrichissement automatisé, investigations informatiques et orchestration. Accélérez l'investigation, hiérarchisez les menaces et résolvez les incidents informatiques plus rapidement et plus facilement.

Voir la démo