威胁反应

无缝的编排和工作流程

威胁响应协调事件响应过程的几个关键阶段。

它从多个安全工具中摄取安全警报。它从内部和外部来源收集上下文，目标历史和智能。它收集和分析端点取证。

使用所有这些信息，它可以自动化工作流程和响应操作。它构建列表和对象以实现强制和激活隔离区和包含操作。通过在每个阶段，通过自动生成的报告测量事件响应的有效性。

所有编排都是通过集成的中央控制台执行的，该控制台连接到安全警报源，以及内置的强制和隔离工具。集成设计提供了实时可见的事件响应过程的一瞥视图。

所有集合，比较和平台分析都是自动执行的。这意味着提高效率，使入射响应者能够快速审查关键细节，作出决定并采取行动。隔离和遏制操作在您选择的自动化级别运行。您可能会在某些情况下设置工作流以在某些情况下自动触发防火墙更新，而在其他情况下构建一个简单的块列表以进行更改控制。

法医收集和IOC验证

无论何种难以捉摸的恶意软件，感染往往会在终点上留下Telltale标志。这些被称为妥协指标（IOC）。威胁反应自动确认内置IOC验证的恶意软件感染。

这些国际石油公司包括:

• 流程
• 互斥锁
• 文件系统的变化
• 注册表更改
• 网页历史记录

当安全警报报告系统已针对恶意软件时，威胁响应会自动部署端点收集器以从目标系统中提取取证。将该数据与已知IOC的数据库进行比较，以快速确认系统是否感染与当前攻击有关的IOC。团队还可以从未清理的攻击中获得IOC的可见性。这种内置感染验证可以节省每小时。它大大减少了导致不必要的重叠和备份恢复周期的时间浪费误报的数量。端点法医收集器部署到怀疑受到需求感染的系统 - 无需预先安装。收集器暂时运行在内存中并在完成后卸载。

情境和情境意识

许多安全警报缺乏确定威胁上下文和下一步步骤所需的关键信息。威胁响应通过收集重要的内部和外部上下文、情报和数据来创建每个警报的可操作视图，从而自动丰富安全警报。有了这种洞察力，安全团队可以快速理解、确定优先级并对安全威胁作出反应。

通过威胁反应，安全团队可以快速回答以下问题：

• 哪些用户受到了攻击?
• 受影响的用户以前是否被感染过?
• 受影响的用户报告的部门或组进行了什么？
• 受影响的系统中是否包含成功攻击的指标?
• 在我们的环境中或其他地方之前会看到这种攻击吗？
• 攻击来自哪里?命令和控制(C&C)节点位于哪里?
• 浏览器或连接历史是否包含任何不寻常的内容，例如访问可疑网站，或打开连接到C&C服务器?

简单的隔离和遏制

威胁反应与您当前的安全基础架构工具集成，以阻止验证的威胁，隔离区感染用户，并通过停止感染的传播来保护其他用户。

例如，威胁响应可以将有针对性的用户的Active Directory组成员身份更新为：

• 限制对文件共享网站的访问
• 控制VPN访问
• 更新网络访问控制（NAC）和应用程序控制系统

通过使用Web筛选器限制对网页和URL的访问来更新强制工具的块列表的能力。您可以允许或拒绝网络连接损害“百“网站、犯罪域名和主机。

在他们交付后，可以随时将恶意附件的电子邮件移动到安全区域。这会阻止您的人民再次单击附件的风险。