対応とは、基本的には攻撃に対してどれだけ迅速に対処できるかということです。サイバーインシデントに迅速に対応し、それが特定された時点でリスクを軽減することができれば、攻撃者がインフラで活動できる時間を短縮することができます。そしてその結果、サイバー攻撃による被害を最小限に抑えることができます。

現在、EDRに搭載されている検知機能は、高度に自動化されていますが、対応は長い間、手作業に頼らずる負えませんでした。当社の顧客やパートナーに話を聞いてみると、生産性を高めるために、さまざまな対応アクションを自動化し、複数のエンドポイントにおいて、同時に別のアクションを実行する必要性があることがはっきりしました。 脅威を正確に検知し、脅威の状況を理解することができれば、最小限の混乱で対応を調整することが容易になります。

さらに、その時々の状況に応じて、さまざまなタイプの対応が必要になります。基本的に、脅威を正確に検知でき、何が起きているのかを理解することができれば、混乱を最小限に抑えながら対応を実行することができます。

この結果、Windows版の Elements EDR 製品に多くの新しい対応アクションを実装することができました。これらのアクションは、1つまたは複数のエンドポイントに対して同時にリモートでトリガーすることができ、グローバルに利用可能です。

では、対応とそれが現実的に何を意味するのかについて、もう少し掘り下げてみます。この機能により、エンドポイントからのフォレンジック成果物を充実させることができ、攻撃者に反撃することができます。また、例えばコマンドアンドコントロール(CnC)を介した攻撃のスピードを低下させることで、攻撃者の目的達成を遅らせたり、完全に阻止したりすることも可能です。また、発見された脅威を迅速に封じ込め、攻撃者の攻撃をリアルタイムで阻止することもできます。

私たちは対応能力を3つ活動に分けて捉えています：:

• 調査活動
• 封じ込め活動
• 改善活動

• フォレンジックパッケージの収集
• プロセスの列挙
• スケジュールされたタスクの列挙
• サービスの列挙
• フルメモリダンプ
• ファイルシステムのマップ
• レジストリマップ
• ネットスタット
• アンチウイルスログファイルの取得
• イベントログファイルの取得
• ファイルの取得
• フォルダの取得
• マスターブートレコードの検索
• マスター ファイル テーブルの取得
• PowerShell履歴の取得
• プロセスメモリダンプの取得
• レジストリハイブの取得

そして...

イベント検索ツールは、EDRバックエンドに送信済みのBroad Context Detectionに関連するデータを検索するために使用することができます。

攻撃が複雑すぎて解析が困難な場合は、オプションで当社の脅威ハンティングチームが24時間365日体制で対応し、解決策を見つけます。

注意：

データの取得は、生産性を向上させるために、1つのアクションを複数のエンドポイントに対して行うことができます。

さらに、追加情報の要求が行われたときにエンドポイントがオンラインでない場合、エンドポイントエージェントはオンラインに戻り次第、直ちに情報を提供します。

• アプリケーションの制御
• キルプロセス
• キルスレッド
• ネットワーク隔離

調査フェーズの後、IT管理者またはEDRサービスを管理しているパートナーは、攻撃の封じ込めやその足跡を止めることができます。

さらに、プロセス封じ込めアクションを強制終了し、特定のエンドポイント上で指定のプロセスがリモートで終了されるようにします。

Elements EPP のアプリケーションコントロール機能は、対象エンドポイント上に既知の悪意のあるプログラムが存在し、そのプログラムの再実行を防止したい場合に利用できます。

アプリケーションコントロールは Elements EPP のデバイスプロファイルの一部であり、エンドポイントの大きなグループに適用されます。

• ファイルの削除
• フォルダの削除
• レジストリキーの削除
• レジストリ値の削除
• スケジュールされたタスクの削除
• サービスの削除
• ユーザーに通知
• ホストをスキャン

最後の保護レイヤーは、攻撃者がすでに侵害されたシステム上で永続化しないようにします。

最後に、Inform Usersを使用して、影響を受けるホストのユーザに警告メールを作成し、送信することができます。