Threat Responseの概要

Threat Responseを使用して、インシデント対応アクションを数時間または数日から数分に短縮します。攻撃およびその結果としてのビジネスの中断を素早く検知し、それに対応、回復します。

検知

Threat Responseは、アクティビティをリアルタイムで監視し、潜在的に悪意のある行為が検知されたら警告を生成します。脅威インテリジェンスは、様々な信頼できるソースから設定できます。この情報を使用して、既知のIOCを持つエンドポイントを検索し、レピュテーション分析を行います。Threat Responseが使用するレピュテーションデータは、継続的にすべてのプロセス実行、自動実行、関連ファイル、読み込まれたモジュールといったアクティビティをユーザーブラックリストまたはその他のサービス(Palo Alto Wildfire、VirusTotal、ReversingLabs)で定義されている既知の悪意のあるハッシュと比較します。

調査

Threat Responseは、フォレンジックおよび履歴分析用に継続的に主要システムアクティビティを記録します。企業内のすべてのエンドポイントを通して特定のアクティビティを検索し、リアルタイムと履歴的に各システム上でのプロセスおよびユーザーアクティビティまでドリルダウンできます。

封じ込め

Threat Responseには、エンドポイントの可視性と修復を提供するセンサーとパッケージが含まれています。センサーを使用すると、エンドポイントデータで侵害のエビデンスを素早く検索できます。侵害されたエンドポイントを検出したら、Threat Responseパッケージを使用してインシデントを隔離し、それ以上の侵害、データ漏洩、横の動きを防止します。

他のTanium製品との統合

Threat ResponseにはTanium™ Connect、Tanium™ Protect、Tanium™ Trendsとの統合が内蔵されており、警告、修復、インシデント関連データのトレンディングが強化されています。

Connect

送信先のConnectを設定して、Threat ResponseデータをTanium外にエクスポートできます。Threat Responseは、保存されたQuestionからのハッシュ情報をConnectとレピュテーションサービスプロバイダに送信し、プロセスハッシュのレピュテーションステータスが一目でわかるよう詳述します。また、脅威データを作成するために、Palo Alto Wildfireなどのソースからの着信接続を構成することもできます。

Protect

Threat Response結果を使用して、ProtectでWindowsエンドポイントのプロセスとネットワークのルールポリシーを作成し、ネットワークにおける将来のインシデントを防止します。インシデント発生中に悪用された、より根本的な脆弱性を識別して対処できない場合、組織はセキュリティ状況を完全に改善することはできません。

Trends

Threat Responseのデータ全体をグラフィカルに表示するには、Tanium TrendsボードおよびパネルにあるThreat Responseで保存されたQuestionのいずれかを使用します。Trendsは、エンドポイント別の特定のレスポンスを全体的な視点からTanium Interactにピボットすることができます。

この文書には、第三者が提供するコンテンツや製品(ハードウェアおよびソフトウェアを含む)、サービス(「第三者のアイテム」)に対するアクセス手段や､第三者のそうした情報そのものが含まれていることがあります｡ Tanium Inc.およびその関連会社は、(i)それらの第三者のアイテムに対して責任を負うものではなく、第三者のアイテムに関するすべての保証および責任を明示的に放棄し、(ii)お客様とTaniumとの間の有効な契約に明記されているのでない限り、かかる第三者のアイテムへのアクセスや、利用に起因する損失、費用または損害について責任を負いません。

また、この文書は､特定の第三者のアイテムの使用やTanium製品との組み合わせを求めるものでも､想定するものでもありません。そのような組み合わせによって生じた知的財産権の侵害について、Taniumおよびその関連会社は一切責任を負いません。第三者のアイテムとTanium製品の組み合わせが適切であるかどうか､また第三者の知的財産権を侵害しないかどうかの判定の責任はTaniumではなくお客様にあります｡

最終更新：2020/04/0119:01| フィードバック