360レスポンス：アイデンティティ、デバイス、ネットワークトラフィック全体にわたる強制的な制御

360 Responseは、Vectra 統合封じ込め機能であり、セキュリティチームがID、ホスト、ネットワークの各レイヤーにわたるアクティブな攻撃を阻止することを可能にします。Vectra 継続的制御アプローチの中核コンポーネントであり、高信頼性のAI検知を強制的な対応アクションへと変換します。360 Responseは既存のIDプロバイダー、エンドポイント検知・対応ツール、ファイアウォールを活用し、新たなエージェントの導入や手動ワークフローを追加することなく脅威を封じ込めます。 複数のレイヤーにわたる封じ込めを連携させることで、360 Responseは組織がアクティブな侵害時に制御権を取り戻すことを支援し、複雑なハイブリッド環境におけるエスカレーションリスクを低減します。

360 Responseは、ハイブリッド攻撃が進行中である間、迅速かつ協調的な封じ込めを可能にすることで継続的な制御をサポートします。ハイブリッド環境で最も悪用されるレイヤー（ID、エンドポイント、ネットワークトラフィックなど）全体にわたり対応アクションを適用します。 高信頼性の脅威が検出された場合、360 Responseは手動または自動でID、デバイス、トラフィックのロックダウンをトリガーします。この協調的な対応により、攻撃者のアクセス、横方向の移動、通信経路を同時に遮断。セキュリティチームは被害発生後の対応ではなく、攻撃の展開中に断固たる行動を取り、制御を維持することが可能となります。

Identity Lockdownは、Active DirectoryおよびEntra IDにおいて侵害されたユーザーアカウントを無効化または制限することで、IDベースの攻撃を阻止します。トリガーされると、アクティブなセッションを強制終了し、パスワードリセットワークフローをサポートして盗まれた認証情報を無効化します。これにより、攻撃者が有効なIDを再利用してクラウドサービス、SaaSアプリケーション、またはオンプレミスリソースにアクセスすることを防止します。 アイデンティティ悪用は現代の攻撃において最も一般的な権限昇格手法の一つであり、Identity Lockdownはこの優位性を迅速に取り除きます。アイデンティティ脅威の検知と封じ込めを通じて早期にアイデンティティの封じ込めを強制することで、セキュリティチームは権限昇格や環境横断的なピボッティングの可能性を低減します。

デバイスロックダウンは、環境に既に導入されているエンドポイント検知・対応ツールとのネイティブ統合により、侵害されたデバイスを隔離します。 デバイスがロックダウンされると、ネットワークから切り離され、横方向の移動を阻止するとともに、当該デバイスからの攻撃者活動を停止させます。360 Responseは追加のエンドポイントエージェントを必要としないため、チームは複雑性の増大や導入時の摩擦を回避できます。デバイスロックダウンは、アナリストによる手動操作または高信頼性脅威に対する自動化で開始可能であり、主要なEDRプラットフォームとの既存セキュリティ連携を維持しつつ、迅速な封じ込めを実現します。

トラフィックロックダウンは、ファイアウォールベースの制御により攻撃者の通信を遮断することで、ネットワークレベルの封じ込めを強制します。脅威がロックダウン状態に入ると、そのIPアドレスはVectraブロックリストに追加され、ファイアウォールが外部脅威フィードとして利用します。 ファイアウォールポリシーはこれらのIPからのトラフィックを拒否し、コマンド＆コントロール通信、データ流出、内部ピボッティングを防止します。接続リセットとは異なり、この手法は攻撃者が回避できない永続的なポリシー駆動型ブロックを強制します。トラフィックロックダウンは検知を強制的なアクションに変換することで、ネットワーク検知と対応（NDR）機能の価値を拡張します。

360 Responseは、Vectra 継続的制御フレームワークを構成する5つの基盤コンポーネントの一つであり、プロアクティブな脅威エクスポージャー管理、価値報告、アナリスト体験、マネージドサービスと並んで位置付けられます。これらの機能を組み合わせることで、組織は侵害前のエクスポージャー削減、アクティブな攻撃中の脅威封じ込め、インシデント解決後の回復力の証明を実現します。360 Responseは、アイデンティティ、ホスト、ネットワークの各レイヤーにわたり強制的な封じ込めを提供することで、対応フェーズに焦点を当てています。Vectra 検知、調査、報告機能と組み合わせることで、セキュリティチームは制御、回復力、運用成熟度において測定可能な改善を実証できるようになります。