セキュリティ

セキュリティインシデント自動分析・対応ソリューション SECDO

セキュリティインシデント自動分析・対応ソリューション SECDO

Gartner Cool Vendor

Cyber Secdo Ltd.はイスラエルのサイバーセキュリティソリューションベンダーです。
インシデント自動分析・対応ソリューションを提供しています。


...Cyber Secdo Ltd.との独占販売代理店契約締結に関する当社プレスリリースはこちら

SECDOは、セキュリティ製品のアラートの中から危険度の高いものを自動的に抽出し、根本原因を自動で特定して被害の全貌を解明します。またエンドポイントのサービスを止めることなく、悪意ある活動をリモートで停止することができます。

セキュリティ担当者が抱える課題

1. 大量のアラートのトリアージに追われている
大量に発生するアラートのトリアージに追われる中で、本来対応すべきサイバー攻撃の兆候を示す重要なアラートが見過ごされ、セキュリティ上の危険にさらされている可能性があります。
2. インシデントの調査プロセスが複雑で膨大な時間がかかる
フォレンジックにおいて、エンドポイントの記録の収集・調査は困難で高度な専門技術を必要とします。その結果、調査に時間がかかり、被害が拡大・深刻化してしまうことがあります。
3. インシデント対応業務は非効率的で生産性が低い
インシデント対応業務は、複数のツールを使用してエンドポイントをネットワークから切断したりマシンを再構築したりしなければならないため、効率が悪い状態です。

セキュリティ担当者が抱える課題

SECDOの機能

SECDOは、エンドポイントのアクティビティ履歴を自動的に収集・記録・分析します。アラートが発生すると、アラートと分析済みの履歴データを紐づけ、根本原因、攻撃の流れ、被害などを自動的に分析し、インシデントの全体像を可視化します。さらに、インシデントをリモートでかつスレッド単位で修復できます。

SECDOの機能

1. エンドポイントのデータを継続的かつ自動的に収集・記録・分析
エンドポイントのイベントや挙動を記録し、クラウドやサーバに保存します。記録されるのは、ファイル、ネットワーク、レジストリ、プロセス、ユーザ、USB、イベントログなどのあらゆるアクティビティです。
2. アラートとエンドポイント履歴との因果関係を自動分析
SECDOのCausality Analysis Engine™が、継続的かつ自動的にエンドポイントのイベント履歴を分析します。これにより、脅威の背景にあるサブプロセス、エンドポイント、ユーザ、通信、ファイルなどの相関や因果関係を解明します。
3. アラートを自動的に調査
SIEMなどからアラートを受け取ると、分析済みのエンドポイントデータと紐づけし、アラートの全体像を可視化します。根本原因、攻撃の流れ、関連するプロセスやファイル、影響を受けたエンドポイント、挙動、被害が一目でわかります。
4. リアルタイムかつリモートでインシデント対応・修復
任意のエンドポイントの個々のプロセスやスレッドを、リモートで、表示、検索、検証、隔離、阻止、削除などすることができます。調査・修復が実行されている間もユーザは通常通り業務を継続できます。

「先制型」のインシデント対応への革新

従来のインシデント対応は、インシデント発生後にエンドポイントからデータを手作業で収集する事後型のものでした。SECDOはこれを、発生前にアクティビティ履歴データをクラウドなどへ収集し自動分析する先制型のインシデント対応に革新します。

「先制型」のインシデント対応への革新

 

SECDO導入がもたらすメリット

SECDOは、お客様に次のメリットをもたらし、セキュリティ担当者が抱える課題の解決をご支援します。

エンドポイントのアクティビティの記録・可視化による、根本原因と攻撃の流れの解明。エンドポイントのアクティビティの記録・可視化による、根本原因と攻撃の流れの解明。

アラート調査の自動化による効率化。アラート調査の自動化による効率化。

インシデント対応時間の短縮とリモート修復機能による被害と業務中断の最小化。インシデント対応時間の短縮とリモート修復機能による被害と業務中断の最小化。

ランサムウェアから防御。ランサムウェアから防御(ファイルが暗号化される前に自動的に停止・凍結)。

 

SECDOの3つのコンポーネント

SECDOは、Observe(監視機能)、Analyze(分析機能)、Responder(対応機能)という3つのコンポーネントで構成されています。


OBSERVER コンポーネント(監視機能)
~エンドポイントのアクティビティの完全な可視化~

Observerコンポーネントは、エンドポイントのすべてのイベントや挙動(ユーザ、ファイル、メモリ、プロセス、スレッド、レジストリ、ネットワーク、USBなど)を継続的に記録し、クラウドやサーバに長期にわたって安全に保存します。これによりセキュリティ担当者は、アラートの調査や脅威の追跡を効果的に実施できます。

VISIBILITY

VISIBILITY

ユーザ、ファイル、ホスト、プロセスなどの相互関係を可視化します。 自然言語のみならず、スクリプト言語や数式言語でも検索可能です。 例えば「特定の時間に特定のエンドポイント上の特定のプロセスによって特定のファイルにかけられた変更は何か?」「ドメインで動いているすべてのプロセスを表示せよ」といった複雑な検索クエリも可能です。

FORENSIC TIMELINE

各エンドポイントのすべてのイベント履歴をタイムライン形式で完全に可視化します。

HOST INSIGHTS

ネットワーク全体のエンドポイント内の設定情報やデバイス情報を参照可能です。

IOC SEARCHES

IOCファイルに基づいてIOC検索を行うことができます。
ANALYZER コンポーネント(分析機能)
~アラートの自動調査~

SECDOのCausality Analysis Engine™(因果関係分析エンジン)が、エンドポイントのイベント履歴を継続的かつ自動的に分析し、脅威の背景にある因果関係を解明します。 SIEMや検知システムからアラートを受け取ると、自動的にエンドポイントの履歴データと関連付け、即座に相関を可視化します。これにより、セキュリティ担当者は、「誰が、何を、どこで、いつ、どのように」といったアラートの背景をすぐさま把握することができます。

AUTOMATIC ANALYSIS OF ALERTS FROM ANY SOURCE

AUTOMATIC ANALYSIS OF ALERTS FROM ANY SOURCE

主要なSIEMや検知システムと連携して、あらゆる検出元からのアラートを自動的に調査・検証します。
さらに、アラートとエンドポイントの履歴データとを自動的に紐づけして可視化します。

THE FULL CONTEXT BEHIND EVERY ALERT

Causality Analysis Engine™(因果関係分析エンジン)がアラートを自動調査し、アラートの文脈を可視化します。

 

VISUALIZING THE COMPLETE ATTACK CHAIN

攻撃の流れを可視化します。全体感をひと目で把握することができます。

 

REVEALING HOLES IN NETWORK SECURITY

侵害の流れや根本原因といったサイバー攻撃の全体像を把握できます。

 

BIOCS

BIOCS - THREAT HUNTING BASED ON BEHAVIORS

静的な条件で脅威を検出するIOCとは異なり、BIOCは複数の要素や順序を組み合わせて脅威を検出する機能です。
既知となった脅威情報を利用して設定し、すべてのエンドポイントデータと照合してアラートを生成することが可能です。
RESPONDER コンポーネント(対応機能)
~迅速な対応と修復~

Responderコンポーネントは、インシデント対応のための効果的なツールセットです。脅威を迅速かつ精密に、リモートで阻止・修復します。 セキュリティ担当者と社内システム担当者は、リモート操作が可能な管理画面で、エンドポイントのプロセスやスレッドを表示・検索・検証・隔離・阻止・停止・削除可能。 調査・修復が実行されている間もユーザは通常通り業務を継続できます。

RESPONSE CENTER

RESPONSE CENTER

SECDOのインシデント対応ツールは、Response Center画面で提供されます。 Response Centerを使って、リモートで任意のエンドポイントを操作して、スクリプトを実行したり、プロセスと脅威を隔離・凍結・根絶したりできます。 この作業の間、ユーザの業務を中断することはありません。

ICEBLOCK

メモリのプロセスを凍結します。 悪意あるプロセスの凍結がなされている間も、ユーザは安全に業務を継続可能です。

ISOLATION

感染したエンドポイントをリモートでネットワークから隔離します。SECDOシステムとの通信のみを残した状態で隔離可能です。

AUTOMATABLE RESPONSE

Observer コンポーネント(監視機能)とAnalyzer コンポーネント(分析機能)への新しい自動化ルールやセキュリティポリシーの組み込みを可能にします。
LIVE FORENSICS

LIVE FORENSICS

リモートでのメモリダンプの収集やメモリフォレンジックの実行を実現します。 これにより、時間とネットワークリソースを節約することができます。

LIVE REMOTE TERMINAL

コマンドやコード(Python、PowerShellなど)を任意のエンドポイントで対話的に実行します。

PYTHON

エンドポイントにPythonをインストールすることなく、インシデント対応のための複合的なスクリプトとシナリオの作成を可能にします。

REMOTE SCREEN CAPTURE

修復作業に必要な追加エビデンスのためエンドポイントのスクリーンショットをリモートで取得可能にします。

SECDO資料ダウンロード   トライアル POCお申込み

記載されている社名、製品名、サービス名、ロゴ等は各社の商標または登録商標です。

セキュリティインシデント自動分析・対応ソリューション SECDOのお問い合わせ

セキュリティインシデント自動分析・対応ソリューション SECDOについてのご相談・ご質問はお気軽にご連絡ください。

お電話でのお問い合わせ:TEL 03-4512-3456

Webからのお問い合わせはこちら

お問い合わせ

サービスについてのご相談・ご質問はお気軽にご連絡ください

TEL:03-4512-3456

Webからのお問い合わせ

メニュー

関連ソリューション