威胁的反应

无缝编配和工作流

威胁响应对事件响应流程的几个关键阶段进行编排。

它从多个安全工具中获取安全警报。它从内部和外部来源收集背景、目标历史和情报。它还收集和分析终端取证。

通过使用所有这些信息，它可以自动化工作流和响应操作。它构建用于执行的列表和对象，并激活隔离和遏制措施。使用自动生成的报告，详细说明每个阶段的关键性能指标，来衡量事件响应的有效性。

所有orchestration都通过集成的中央控制台进行，该控制台连接到安全警报源以及内置强制和隔离工具。集成设计提供了事件响应过程的AT-A浏览视图，用于实时可见性。

平台的所有收集、比较和分析都自动执行。这意味着效率的提高，使事故反应人员能够快速回顾关键细节，做出决定并采取行动。隔离和遏制措施将在您选择的自动化级别上操作。您可以设置工作流在某些情况下自动触发防火墙更新，而在其他情况下为更改控制构建一个简单的块列表。

法医收集和国际奥委会验证

无论恶意软件多么难以捉摸，感染往往会在终端留下泄密的痕迹。这些被称为妥协指标(IOC)。威胁响应自动确认恶意软件感染内置IOC验证。

这些IOC可以包括：

• 流程
• 互斥锁
• 文件系统更改
• 注册表修改
• 网页历史记录

当安全警报报告系统被恶意软件攻击时，“威胁响应”会自动部署终端收集器从目标系统提取取证信息。将这些数据与已知的IOCs数据库进行比较，以快速确认系统是否感染了与当前攻击相关的IOCs。团队还可以从以前未清理的攻击中获得对国际石油公司的可见性。这种内置的感染验证可以为每个事件节省数小时。它大大减少了导致不必要的重新成像和备份恢复周期的浪费时间的误报次数。端点鉴定收集器可按需部署到怀疑被感染的系统—无需预安装。收集器暂时在内存中运行，并在完成后卸载自身。

背景和情境意识

许多安全警报缺少确定威胁和下一步的上下文所需的关键信息。威胁反应通过收集重要的内部和外部上下文，智能和数据来自动丰富安全警报，以创建每个警报的可操作视图。通过这种洞察力，安全团队可以快速理解，优先考虑并响应安全威胁。

通过威胁响应，安全团队可以快速回答以下问题:

• 哪些用户受到攻击？
• 是否以前感染过受影响的用户？
• 受影响用户应向哪个部门或组报告?
• 任何受影响的系统是否包含成功攻击的指标？
• 这种袭击以前在我们的环境或其他地方见过吗?
• 攻击来自哪里，命令和控制（C＆C）节点在哪里？
• 浏览器或连接历史记录是否包含任何异常的，例如访问可疑网站，或打开与C＆C服务器的连接？

轻松隔离和遏制

“威胁响应”与您当前的安全基础设施工具集成，以阻止已验证的威胁、隔离受感染的用户，并通过阻止感染的传播来保护其他用户。

例如，“威胁响应”可以将目标用户的Active Directory组成员关系更新为:

• 限制访问文件共享网站
• 控制VPN访问权限
• 更新网络访问控制(NAC)和应用控制系统

更新执行工具上的阻止列表的能力通过使用网络过滤器限制对网页和URL的访问来保护您。你可以允许或拒绝网络连接被破坏"水坑“网站和犯罪域和主持人。

带有恶意附件的电子邮件可以在任何时候被转移到一个安全区域，即使它们已经被发送。这样可以防止用户再次点击附件。