Cyber Triage


Cyber Triage は高速かつ包括的な自動インシデント対応ソフトウェアです。あらゆる企業でアラートの調査に利用いただけます。

ダウンロード 購入

製品概要

インシデント対応の高速フォレンジック

Cyber Triage が米国連邦法執行機関と専門調査員からの高く信頼されている理由

  • 高速: データの収集、分析、関連付けを自動化
  • 包括的: 完全な脅威評価
  • アクセス可能: 容易な調査とレポート作成

速さ

Cyber Triageは、エンドポイントフォレンジックスサイクルを自動化することで、インシデントを可能な限り迅速に修復し、人間のアナリストがより価値の高い作業を行えるようにします。応答時間を低く保つチームは、次のことができます。

  • コスト削減:1件あたりのコスト削減
  • リスク軽減:悪者が損害を与える時間の短縮
  • 完全な証拠の入手:悪者が自分の足跡を隠す時間を与えない

「以前4-6時間かかっていた作業を、Cyber Triage では数クリックで実現出来るようになりました。大幅に時間を節約することができました。」
—グローバル大手企業のサイバーセキュリティアーキテクト

包括性

サイバー脅威は常に進化し続けており、受け取ったアラートに対処する間、調査担当者がこうした変化に対応することは非常に困難です。Cyber Triageは、最新の脅威インテリジェンスに基づいて分析プロセスを毎日更新し、あらゆる調査を可能な限り完全なものにします。

“I don’t have time to keep my skill set up. Cyber Triage ensures that my investigations are informed by the latest threat intelligence.”
—10億ドル超のメーカーの情報セキュリティエキスパート

使いやすさ

Cyber Triageは、インシデントレスポンスのすべてをわかりやすくするために設計されました。このUIにより、経験豊富な人から経験豊富な人まで、すべてのインシデント対応者が、インシデントに関するデータベースのストーリーを迅速かつ容易に作成できます。

“The UI of my EDR (endpoint detection and response system) doesn’t provide a clear view of the data. With Cyber Triage, I can tell a better story.”
—ナスダック100企業の情報セキュリティマネージャ

Cyber Triageを利用する理由

危険なインシデント対応の遅れ

この重要な時期におけるプロセスの効率性の低さは、侵入者が所有権のあるデータの盗用、インフラストラクチャの破壊、永続化メカニズムの導入、またはトラックの隠蔽に必要な時間を与えるという重大な脅威です。

サイバートリアージが調査サイクルを加速

初期化
SOARおよびSIEMと統合し、迅速に調査を開始します。
収集
マルウェア、ユーザー、およびシステム設定に関連するデータを一度に収集します。
分析
収集したデータを自動的に分析し、不良アイテムや疑わしいアイテムを検出します。分析員の意思決定を支援します。
範囲
インシデントに関与した可能性のある他のホストからデータを収集および分析します。

仕組み

Cyber Triageの仕組み

Cyber Triageは、ネットワークを介して収集ツールを展開し、関連性の高いデータを収集して、マルウェアや疑わしいアクティビティーがないかを分析することで、エンドポイントを調査します。

Cyber Triageの新規セッションの開始

ネットワークまたはUSBを介して収集ツールがエンドポイントに送信される

分析担当者の意思決定を支援するために、疑わしいデータにフラグが立てられる

自動分析でマルウェアや既知の標識が検出される

揮発性データ、レジストリーデータ、ブラウザーデータ、ファイルデータが収集される


Cyber Triageを利用する理由

SIEMや検出システムでアラートが生成されたとき、エンドポイントを調査して、重大度と範囲を判別する必要があります。

SIEMシステムまたは検出システムからアラートを発動
エンドポイント調査はSOARから手動にて開始
Cyber Triageをエンドポイントに展開してデータを収集
調査員がCyber Triageのデータを使用して証拠を見つけ、意思決定を行う

特徴

自動化によるインシデント対応の迅速化

自動開始

SOAR (セキュリティーのオーケストレーション、自動化、対応) システムや SIEM (セキュリティー情報およびイベント管理) システムと統合することで、Cyber Triage での捜査は、アラートまたは分析担当者によって開始されたワークブックに基づいて自動的に開始できます。
Cyber Triage は、以下のシステムと統合可能です。[全統合リストを参照]

自動データ収集

Cyber Triage では、ターゲットを絞って収集するアプローチを採用しています。ワンステップでシステムから最重要データをコピーするため、ユーザーはドライブ全体のフォレンジック・イメージを作成せずに済みます。
収集ツールの特性:

  • ターゲット・システムへのインストール不要
  • 未加工または E01 フォーマットのディスク・イメージを分析
  • The Sleuth Kit® フォレンジック・ライブラリーを利用

収集されるデータ:

  • 揮発性データ
  • マルウェア永続化メカニズム
  • システム上の全ファイルのファイル・メタデータ

自動分析

Cyber Triage は、ターゲット・システムからデータを収集した後に、経験豊かな対応者が最初に検索するであろう証拠を自動的に検索します。
Cyber Triage は、以下のような疑わしい事項にフラグを立てます。

  • 複数の ReversingLabs エンジンからの結果に基づいて判別された、マルウェアが含まれているファイル
  • 一般的ではない場所から実行されたプログラムおよびスケジュール・タスク
  • 一般的ではない場所にあるか、署名されていないスタートアップ・プログラム、サービス、またはドライバー
  • 疑わしいユーザーや設定のリモート・デスクトップ接続
  • 改ざんされている Windows プロセスなど

支援付き意思決定分析

ユーザーによって使用パターンや技術的専門知識が異なるため、同じホストはありません。インシデントに対応する際、対応者は各ホストについて意思決定する必要があります。
Cyber Triage は、以下により、そのような意思決定を支援します。

  • ユーザーは、関連データ・タイプを探索できる。つまり、1 つのプロセスから開始し、そのネットワーク接続やリモート・ホスト情報を確認したり、プロセスの実行可能ファイルがどのように開始されたのかを調べることができる。
  • 疑わしいイベントの前後に行われた内容を表示して、システム・アクティビティーの完全なタイムラインを確認し、関連アクティビティーを検出する
  • 以前のセッションの情報に基づいて、項目の一般性/珍しさを示す

インシデント範囲特定

分析対象ホストは氷山の一角である可能性があります。証拠が 1 つ見つかったら、他のホストに対するインシデントの規模の特定を開始するのが有効です。
Cyber Triage では、以下により、インシデントの範囲を特定できるようにします。

  • データの収集や分析が必要な一連のホストを示す
  • 一連のホストを同じ「インシデント・グループ」に追加して、ユーザーがホストの相関分析を行えるようにする
  • あるホストで不良とマークされた項目を別のホストでも不良とマークする

プラン一覧

ベーシックな収集とレポート

Lite版

無料お試しバージョン

  • 揮発性データやファイルシステムデータを収集
  • USBドライブに収集
  • Volatilityを使用してメモリイメージを分析
  • 収集されたデータを概観して範囲を特定
  • 脅威のタイムラインを表示してコンテキストを収集
  • HTML・CybOX形式でレポートを生成

ダウンロード

自動化と分析

Standard版

お問い合わせ:sales@cybertriage.com
Liteのすべての機能をサポート

  • ネットワーク上で収集
  • データを自動的に分析して疑わしいアイテムを特定
  • ReversingLabs および PolySwarm の利用でマルウェアを検出
  • Yaraルールを使用してファイルを分析
  • 信頼できる既知のアイテムをホワイトリストに登録して非表示にする
  • 侵害インジケーター(IOC)をブラックリストに登録してフラグを立てる
  • 特定ののユーザーの過去の収集と相関付けて、共通のアイテムの状況を特定
  • インシデントごとにホストをグループに分けて、レポートと相関関係の精度を高める
  • SIEMへのインポートが可能なJSON形式でレポートを生成

ダウンロード

共有、統合とオーケストレーション

Team版

お問い合わせ:sales@cybertriage.com
Standardのすべての機能をサポート

  • 複数のホストから同時に収集
  • REST APIを使用してSIEMやオーケストレーションツールと統合
  • マルチユーザーデータベースにデータを保存
  • すべてのユーザーの過去の収集と相関付けて、共通のアイテムの状況を特定

見積書を請求