セキュリティ インシデントを再考
インシデント管理ダッシュボードでは、進行中のすべてのセキュリティ インシデントを、ステータス、深刻度、そしてその他の詳細と共に一元的に確認できます。
注意が必要なインシデントが表示されるので、クリックして内容を確認することができます。
インシデントを掘り下げ
インシデントの概要ページから、以下の情報をさらに収集することができます。
![tick]()
深刻度のインシデント スコア![tick]()
危殆化した資産![tick]()
アラート発生時のデータソース![tick]()
すでに行われた自動対応
深刻度のインシデント スコアインシデントを掘り下げ
インシデント ケースを生成するうえで、Cortex XDRは複数のソースからイベントをつなぎ合わせ、インシデントのコンテキストを広げるためにホスト、ID、ネットワークトラフィックなどの間の接続を確立することによって、アクティビティのエンリッチされたレコードを作成します。
何百もの機械学習モデルがつなぎ合わせたデータの中から異常なアクティビティを探し、新たな検知アラートを生成します。
Cortex XDRは、関連するアラートを1つのインシデントにグループ化し、攻撃の包括的なイメージを作成します。これにより手動で確認する必要のあるアラートの数を98%削減します。
危殆化した資産の特定
インシデントの中で、あなたはクラウドでホストされているWindows PCとインターネットに面したサーバーが侵害された可能性があることに気づきます。
MITRE ATT&CK® フレームワークの確認
攻撃を MITRE ATT&CK® フレームワークにマッピングすることで、サイバー脅威や攻撃手法を分類・記述するための標準化された分類法を確認することができます。攻撃をこのフレームワークに自動的にマッピングすることで、Cortex XDRは関連するすべてのアクティビティを完全に把握することができます。
アラートとインサイトを駆使した調査
生成された重大アラートによって、あなたはWindows PCが侵害されていることを理解します。
リストに目を通すと、クラウド ホスティング サーバーに中程度の深刻度のアラートがあることが分かりました。アラートでは、ブルートフォース攻撃が攻撃者によって試みられ、失敗したことが読み取れます。
これ以上攻撃が進行しないように、感染したWindows PCを隔離しましょう。
攻撃を未然に防ぐ
エンドポイントの隔離は、マルウェアやその他の脅威の拡散を抑えるうえで効果的です。
あなたは侵害されたエンドポイントをネットワークから切り離して、脅威が他のデバイスやシステムに伝播するのを防ぎ、インシデントの範囲と影響の封じ込めを実施します。
マルウェアの探索と消去
次に、ランサムウェア ファイルを見つけ出して消去します。
ライブ ターミナルを使用すると、エンドポイント上でコマンドやスクリプトをリモートで実行できるため、影響を受けるデバイスに物理的にアクセスすることなく、迅速な修復を行うことができます。
原因究明
なぜ攻撃はエンドポイント エージェントによってブロックされなかったのでしょうか?
このデモでは、デモ目的でエンドポイント ポリシーをレポートのみに設定し、攻撃の進行状況を通知しながら、攻撃の進行を許可するようにしています。デモのようにならないように、実際にポリシーを設定する際には、常にベストプラクティスに従うようにしてください。
では、ポリシーをブロックに設定し、続けましょう。
セキュリティ ギャップを特定し、規制基準との整合性を確保
ランサムウェアのインシデントを十分に把握したあなたは、以前にブルートフォース攻撃の試みにクラウド資産が関与していたことを思い出します。このことを念頭に置いて、あなたはクラウドのセキュリティを強化するために、いくつかのプロアクティブなセキュリティ対策に取り組みます。
Cortex XDRのクラウドコンプライアンス機能は、Center for Internet Security (CIS)のベンチマークによるクラウド リソースのコンプライアンスチェックを実行します。これにより、潜在的なセキュリティギャップを特定し、リスクを軽減し、規制当局による罰金や罰則を回避することができます。
あなたはコンプライアンスが74%しかないことに気づき、最終報告書に記載することが重要だと判断しました。
単一のダッシュボードで脆弱性を評価
調査中に侵害されたPCを発見したので、あなたは脆弱性評価を使って、パッチが適用されておらず悪用される可能性のある潜在的な脆弱性をチェックします。
フラグを立てた危険なPCには、ランサムウェア攻撃の原因となったいくつかの脆弱性があることがわかり、パッチを適用するために必要な情報が表示されました。
簡潔かつ明解なレポート
簡潔なフォーマットで、上司に提出するレポートを作成する時です。フォーマットはあらかじめ用意されたテンプレートから選択することができ、必要に応じてカスタム レポートを作成することもできます。
あなたはインシデント管理、クラウド コンプライアンス、脆弱性評価など、調査をまとめたレポートを作成します。
リスト上の行をクリックしてレポートを作成してください
サーフズ アップ!
おめでとうございます。あなたはランサムウェア攻撃を調査し、解決することに成功しました。調査の結果、以下が判明しました。
![tick]()
クラウド資産に対するブルートフォース攻撃の試み![tick]()
パッチが適用されていない脆弱性のあるPC![tick]()
セキュリティ ポリシーが報告のみに設定されており、攻撃の進行を許していた。
幸いなことに、あなたは侵害されたエンドポイントを素早く隔離し、PCに物理的にアクセスすることなくランサムウェア ファイルを除去することに成功しました。
またインシデント全体の詳細を記した報告書も出来上がりました。あと1時間でビーチでバケーションです。
今が一番重要な時
Cortex XDRを活用することで、セキュリティ アナリストが最も得意とすることに集中できます。セキュリティ オペレーションは、Cortex XDRを活用して次のことができるようになります。
![tick]()
エンドポイントやクラウド ワークロード上のランサムウェアのような脅威を防ぐ![tick]()
MTTD(平均検出時間)をマシン スピードに加速する![tick]()
攻撃の根本原因への迅速な対応
より多くのセキュリティをCortex XDRで実現することができます。
98%のアラート削減
8倍早い調査
MITRE Engenuity 2023年版では、設定を変更することなく100%の脅威防御と検出を達成