Marketing Beschreibung

Proofpoint Threat Response verstärkt die Sicherheitsprozesse und koordiniert sowie automatisiert die Reaktion auf Zwischenfälle. Die Plattform ergänzt Sicherheitswarnungen mit umfangreichen Kontextdaten, um Sicherheitsteams bei Priorisierungs- und Reaktionsmaßnahmen zu unterstützen. Dabei erfasst und analysiert sie nicht nur die Kontextdaten von Sicherheitsereignissen und Untersuchungen, sondern sammelt auch forensische Endgerätedaten, mit deren Hilfe Systeminfektionen bestätigt und nutzbare Vorfallprofile erstellt werden können. Dank dieser umfangreichen Kontextdaten ermöglicht die Plattform außerdem Erzwingungs- sowie Isolierungsmaßnahmen, die automatisch oder per Tastendruck ausgelöst werden und die vorhandene Infrastruktur nutzen.

Hauptverkaufsargumente

• Automatisierte Erfassung forensischer Daten von potenziell kompromittierten Systemen
• Geringerer Zeitaufwand für die Bestätigung von Infektionen dank Vergleich der PC-Systemdaten mit forensischen Erkennungsdaten
• Weniger manuelle Datenerfassung von externen Geräten, Datenquellen usw.
• Zentraler Überblick über alle Vorgänge - dank Grafikoberfläche zur Überwachung von Zwischenfällen und verarbeiteten Bedrohungen
• Schnellere Reaktionsentscheidungen dank integrierter Übersichten über Bedrohungsaktivitäten
• Schneller Schutz durch Isolierung und Eindämmung von Bedrohungen - automatisch oder per Tastendruck
• Automatische Verwaltung von Benutzern, E-Mails, Hosts, IP-Adressen und URLs auf Erzwingungssystemen während aller Angriffsphasen, um Mitarbeiter für andere Aufgaben zu entlasten
• Auditfähige Verlaufsübersicht über Reaktionsmaßnahmen zur Steigerung der Rendite vorhandener Infrastrukturen
• Größere Unabhängigkeit von individualisierter Software
• Automatische Erstellung, Nachverfolgung und Verwaltung von Datensätzen zu Zwischenfällen für weniger manuelle Benutzereingriffe
• Laufende Informationen zu böswilligen Aktivitäten mit minutenaktuellen Berichten zu angegriffenen Benutzern, Systemen, Gruppen und Abteilungen

Produktfeatures

• Untersuchung des "Wer, Was und Wo" mit Threat Response
  Sie müssen unverzüglich ermitteln, welche internen Benutzer, Abteilungen und Gruppen betroffen sind. Wenn Sie Informationen über das „Wer" haben, können Sie kritischen Zielen wie dem Finanzvorstand, den Führungskräften und Finanzsystemen Priorität über der Poststelle oder nachrangigen Zielen zuweisen. Neben internen Kontextdaten und Informationen können auch externe Faktoren Hinweise auf verdächtige IP-Adressen oder Domänen in Sicherheitswarnungen liefern. Diese Faktoren sind bereits in Threat Response integriert und ermöglichen den Import sowie die Nutzung von Drittanbieterdaten (z. B. STIX/TAXII-Feeds), um die Analyse weiter zu automatisieren.
• Bestätigung der Infektion dank automatischer Verifizierung von Kompromittierungsindikatoren
  Threat Response erfasst und analysiert forensische Endgerätedaten auf Zielsystemen, um ein umfassendes Bild der Kompromittierungsindikatoren zu erhalten.
• Standardmäßige Integration mit Premiumdaten und Drittanbietertools
  Threat Response überprüft jede Domäne und IP-Adresse, die in Sicherheitswarnungen sowie Sandbox-Berichten aufgeführt wird, anhand integrierter Premiumdaten-Feeds wie Emerging Threats Intelligence. Durch diesen Schritt sparen Sie sich viele Stunden langwieriger Arbeit sowie einzelne und manuelle Suchläufe in Analysediensten, um die in Angriffen bekannt böswilliger Seiten verwendeten IP-Adressen sowie Hosts zu finden. Threat Response ist in der Lage, Bedrohungsdaten von Drittanbietern automatisch oder manuell über STIX und TAXII zu importieren, sodass Sicherheitsteams von Anfang an Daten importieren und automatisch mit Bedrohungs-Feeds verschiedener ISACs (Information Sharing and Analysis Centers) abgleichen können. Darüber hinaus unterstützt die Lösung das BYOI-Konzept (Bring Your Own Intelligence), bei dem Sie Ihre eigenen Datensätze hochladen oder Daten manuell hinzufügen können. Dank integrierter VirusTotal-Integration können Dateien nicht nur einmal, sondern fortlaufend überprüft werden. Es wird angezeigt, wie viele der mehr als 50 Virenschutzmodule böswillige Signaturen oder Eigenschaften in Dateien erkennen, die während einer potenziellen Infektion abgelegt, heruntergeladen oder entpackt wurden. Als weitere Funktionen sind unter anderem WHOIS-Suchläufe, Ortsbestimmung und Active Directory-Konnektoren standardmäßig integriert.
• Isolierung und Eindämmung
  Basierend auf den vom System erfassten und analysierten Kontext- und Forensikdaten liefert Threat Response eine umfassende Übersicht über die Bedrohung. Diese Übersicht ermöglicht es Analysten, Reaktionsmaßnahmen per Tastendruck durchzuführen, eingehender zu untersuchende Bereiche zu ermitteln oder automatisierte Reaktionen zu aktivieren. Zu diesen automatischen Reaktionen gehören zum Beispiel das Entfernen bereits zugestellter E-Mails aus den Postfächern von Benutzern, das Hinzufügen von Benutzern zu Gruppen mit weniger Berechtigungen oder das Aktualisieren der Sperrlisten von Firewalls und Webfiltern.
• Verwaltung von Zwischenfällen
  Eines der verborgenen Risiken beim Umgang mit Zwischenfällen besteht darin, dass Sie aufgrund der Vielzahl an Systemkonsolen und Browserfenstern als auch durch das Kopieren und Einfügen von Informationen zwischen diesen Systemen den Überblick über die Kontextdaten verlieren können. Deshalb umfasst Threat Response neben den Kernfunktionen auch wichtige Funktionen zur Zwischenfallverwaltung, sodass Benutzer und Teams Zwischenfälle untersuchen können, ohne die Kontextdaten beim Wechsel zwischen den Systemen aus den Augen zu verlieren.
• Der Nachteil zeitaufwändiger Vorfalluntersuchungen
  Zur Untersuchung von Zwischenfällen werden Informationen aus mehreren isolierten Quellen herangezogen, wobei jeder weitere Datenpunkt einem Puzzleteil ähnelt. Je mehr einzelne Teile hinzugefügt, angeordnet und analysiert werden, desto klarer wird das Bild über Ausmaß, Schweregrad und Priorität des Zwischenfalls. In der Regel kann die Kompromittierung eines Systems nur mithilfe einer Reihe manueller, zeitaufwändiger Schritte bestätigt werden. Wenn sich die Angreifer während dieser Untersuchungsphase ungehindert durch das Netzwerk bewegen, könnten in dieser Zeit wertvolle Daten von infizierten Systemen gestohlen werden, sodass eine vollständige Untersuchung häufig die Daten gefährden würde.