Proofpoint Threat Response

Threat Responseによってインシデントレスポンスを加速

手作業による脅威ソースの収集と調査

インシデントレスポンスには、4つの主要な目標があります:
1.     標的となったユーザーとシステムを含む、Who/What/Whereの調査。
2.     標的となったシステムのフォレンジックとサンドボックスフォレンジックレポートの検証。
3.     隔離と封じ込めにより、情報や知的所有権の流出を防止。
4.     インシデントレスポンスのKPIを追跡し、インシデントを見逃したり、忘れられたり、残され たりすることを回避。

これらの目標により、どのユーザーが感染したかや脅威の深刻度と緊急度を特定し、フォルス ポジティブを排除し、感染の広がりを抑え、データの流出を防ぐことができます。

自動的なIOC検証による感染の確認

Threat Responseは、標的となったシステムからエンドポイントのフォレンジックデータを収集 し、Indicators of Compromise (脅威の痕跡、IOC)のスナップショットを生成します。IOCデー タにはシステムの最近の変更 (レジストリと修正されたファイル) のリスト、アクティブなプロセ ス、ネットワーク接続などが含まれます。この情報はマルウェア解析システムやその他のシステ ムからのイベントと比較され、クライアントの健康状態を示す指標を提供します。 その他の重要な機能には、攻撃されたシステムの過去の感染についてのチェックがありま す。Threat Responseがオンデマンドでエンドポイントからの情報収集を行う際に、現在の攻 撃についてのIOCだけでなく、Threat Responseがそのサイトで観測した過去の感染に関する IOCもチェックします。これにより、過去の攻撃が永続化しておらず、標的システムから外部に 拡散していないことを迅速かつ効果的に確認できます。

Threat ResponseによるWho/What/Whereの特定

ネットワーク上のどのユーザー、部門、グループが影響を受けたかを即座に特定できます。

「Who」を知ることにより、高い攻撃価値を持つCFOや幹部社員、ファイナンスシステムなど が標的となった場合には、高い優先度を付与することができます。内部のコンテキストとインテリジェンスに加え、外部の因子もまた、セキュリティアラート内の 疑わしいIPやドメインに関する手掛かりを与えてくれます。これらの因子はあらかじめThreat Responseに組込まれており、セキュリティチームのための自動解析に活用されます。

いくつかの主要な外部因子は以下の通りです:
•     ドメインの新しさ/最近の登録かどうか。
•     ドメインブラックリスト。
•     IP及びURLのレピュテーション。
•     IPジオロケーション。

脅威の封じ込め

情報の流出を止めるため、ネットワークレベルの変更を即座に保護に反映させます:

• ひとつのシステムから他に広がらないよう、感染を止める。
• マルウェアにコントロールシグナルが到達するのを遮断する。
• 重要情報が外部に流出することを防止。

Threat Responseは、既存のデバイスを使った封じ込めを自動化し、脅威の検知と保護の隙間 をリアルタイムに埋めることができます。