数ヶ月前、Cognito Platformの新しい自動レスポンス機能、Vectra Account Lockdownについて書いた。Active Directoryのような識別プロバイダー(IdP)と統合し、世界トップクラスのAI検知能力を活用することで、Account Lockdownは疑わしい活動を示すネットワークアカウントを自動的に無効にすることができます。
アナリストには、セキュリティ調査中にアカウントを手動で無効にするオプションもある。アカウントを無効にすると、追加リソースへのアクセスが制限されるため、アクティブな攻撃を大幅に遅らせることができます。これにより、攻撃の爆発範囲が制限され、SOCが攻撃を調査して阻止する時間が増えます。特に、脅威、確実性、および観察された権限といった、忠実度の高いスコアリングしきい値に基づいて自動的にトリガーされるように構成された場合、この機能はお客様から非常に高い評価を得ていますが、私たちの仕事はこれで終わりではありません。
迅速かつ正確に実施するためには、攻撃の発生源に直接行き、エンドポイント自体をロックダウンする必要がある。
Microsoft Defender for Endpoint との統合はまさにそれを実現します。検知 ホストをコンテキストに基づくエンドポイントデータでリッチ化することに加え、セキュリティアナリストは Microsoft Defender ATP ホスト上でホストロックダウンを Cognito検知 UI から実行できるようになりました。Vectra Account Lockdown と同様に、Host Lockdown は、アナリストがボタンをクリックして手動で実行することも、ホストの脅威、確実性、および観察された特権のスコアリングのしきい値に対して自動化された実行のトリガーのために構成することもできます。
自動化された能動的な強制措置では、組織は常にリスクのバランスを取らなければならない。一方では、悪質なアラートを過剰に実施することで、広範な停電を引き起こし、オペレーションを混乱させ、場合によっては実際の攻撃よりも大きなダメージを与えることになる。その反面、行動を起こさないことで、攻撃者がネットワーク環境でより強固な足場を築くことを許してしまうかもしれません。
Vectra Host Lockdownでは、Microsoft Defender for Endpointから得られる正確な強制力と、業界最高の行動ベースのAI検知を活用しています。これにより、基本的に両方の長所を享受することができます。これは、自動化が可能な限り混乱を引き起こさないことを保証すると同時に、攻撃者がその足跡を止めていることをより確実にする素晴らしい方法です。
Host Lockdownの詳細、およびMicrosoft Defender for Endpointとの統合については、こちらをご覧ください。私たちの製品がどのように連携するかを紹介する動画も作成しました。また、詳細やデモのご予約については、いつでもお気軽にお問い合わせください。