Cyber Triage
製品概要
インシデント対応の高速フォレンジック
Cyber Triage が米国連邦法執行機関と専門調査員からの高く信頼されている理由
- 高速: データの収集、分析、関連付けを自動化
- 包括的: 完全な脅威評価
- アクセス可能: 容易な調査とレポート作成
速さ
Cyber Triageは、エンドポイントフォレンジックスサイクルを自動化することで、インシデントを可能な限り迅速に修復し、人間のアナリストがより価値の高い作業を行えるようにします。応答時間を低く保つチームは、次のことができます。
- コスト削減:1件あたりのコスト削減
- リスク軽減:悪者が損害を与える時間の短縮
- 完全な証拠の入手:悪者が自分の足跡を隠す時間を与えない
「以前4-6時間かかっていた作業を、Cyber Triage では数クリックで実現出来るようになりました。大幅に時間を節約することができました。」
—グローバル大手企業のサイバーセキュリティアーキテクト
包括性
サイバー脅威は常に進化し続けており、受け取ったアラートに対処する間、調査担当者がこうした変化に対応することは非常に困難です。Cyber Triageは、最新の脅威インテリジェンスに基づいて分析プロセスを毎日更新し、あらゆる調査を可能な限り完全なものにします。
「自分の能力や知識を最新の状態に保つことは容易ではありません。Cyber Triageにより、最新の脅威インテリジェンスからの情報を調査で利用することができます。」
—10億ドル超のメーカーの情報セキュリティエキスパート
使いやすさ
Cyber Triageは、インシデントレスポンスのすべてをわかりやすくするために設計されました。このUIにより、経験豊富な人から経験豊富な人まで、すべてのインシデント対応者が、インシデントに関するデータベースのストーリーを迅速かつ容易に作成できます。
「利用しているEDR (エンドポイントでの検出および対応システム) のユーザーインターフェースでは、データを明確に表示できません。Cyber Triageを利用すれば、わかりやすくデータを提示できます。」
—ナスダック100企業の情報セキュリティマネージャ
Cyber Triageを利用する理由
危険なインシデント対応の遅れ
この重要な時期におけるプロセスの効率性の低さは、侵入者が所有権のあるデータの盗用、インフラストラクチャの破壊、永続化メカニズムの導入、またはトラックの隠蔽に必要な時間を与えるという重大な脅威です。
サイバートリアージが調査サイクルを加速
SOARおよびSIEMと統合し、迅速に調査を開始します。
マルウェア、ユーザー、およびシステム設定に関連するデータを一度に収集します。
収集したデータを自動的に分析し、不良アイテムや疑わしいアイテムを検出します。分析員の意思決定を支援します。
インシデントに関与した可能性のある他のホストからデータを収集および分析します。
仕組み
Cyber Triageの仕組み
Cyber Triageは、ネットワークを介して収集ツールを展開し、関連性の高いデータを収集して、マルウェアや疑わしいアクティビティーがないかを分析することで、エンドポイントを調査します。
Cyber Triageの新規セッションの開始
ネットワークまたはUSBを介して収集ツールがエンドポイントに送信される
分析担当者の意思決定を支援するために、疑わしいデータにフラグが立てられる
自動分析でマルウェアや既知の標識が検出される
揮発性データ、レジストリーデータ、ブラウザーデータ、ファイルデータが収集される
Cyber Triageを利用する理由
SIEMや検出システムでアラートが生成されたとき、エンドポイントを調査して、重大度と範囲を判別する必要があります。
特徴
自動化によるインシデント対応の迅速化
自動開始
SOAR (セキュリティーのオーケストレーション、自動化、対応) システムや SIEM (セキュリティー情報およびイベント管理) システムと統合することで、Cyber Triage での捜査は、アラートまたは分析担当者によって開始されたワークブックに基づいて自動的に開始できます。
Cyber Triage は、以下のシステムと統合可能です。[全統合リストを参照]
自動データ収集
Cyber Triage では、ターゲットを絞って収集するアプローチを採用しています。ワンステップでシステムから最重要データをコピーするため、ユーザーはドライブ全体のフォレンジック・イメージを作成せずに済みます。
収集ツールの特性:
- ターゲット・システムへのインストール不要
- 未加工または E01 フォーマットのディスク・イメージを分析
- The Sleuth Kit® フォレンジック・ライブラリーを利用
収集されるデータ:
- 揮発性データ
- マルウェア永続化メカニズム
- システム上の全ファイルのファイル・メタデータ
自動分析
Cyber Triage は、ターゲット・システムからデータを収集した後に、経験豊かな対応者が最初に検索するであろう証拠を自動的に検索します。
Cyber Triage は、以下のような疑わしい事項にフラグを立てます。
- 複数の ReversingLabs エンジンからの結果に基づいて判別された、マルウェアが含まれているファイル
- 一般的ではない場所から実行されたプログラムおよびスケジュール・タスク
- 一般的ではない場所にあるか、署名されていないスタートアップ・プログラム、サービス、またはドライバー
- 疑わしいユーザーや設定のリモート・デスクトップ接続
- 改ざんされている Windows プロセスなど
支援付き意思決定分析
ユーザーによって使用パターンや技術的専門知識が異なるため、同じホストはありません。インシデントに対応する際、対応者は各ホストについて意思決定する必要があります。
Cyber Triage は、以下により、そのような意思決定を支援します。
- ユーザーは、関連データ・タイプを探索できる。つまり、1 つのプロセスから開始し、そのネットワーク接続やリモート・ホスト情報を確認したり、プロセスの実行可能ファイルがどのように開始されたのかを調べることができる。
- 疑わしいイベントの前後に行われた内容を表示して、システム・アクティビティーの完全なタイムラインを確認し、関連アクティビティーを検出する
- 以前のセッションの情報に基づいて、項目の一般性/珍しさを示す
インシデント範囲特定
分析対象ホストは氷山の一角である可能性があります。証拠が 1 つ見つかったら、他のホストに対するインシデントの規模の特定を開始するのが有効です。
Cyber Triage では、以下により、インシデントの範囲を特定できるようにします。
- データの収集や分析が必要な一連のホストを示す
- 一連のホストを同じ「インシデント・グループ」に追加して、ユーザーがホストの相関分析を行えるようにする
- あるホストで不良とマークされた項目を別のホストでも不良とマークする
プラン一覧
ベーシックな収集とレポート
Lite版
無料お試しバージョン
- 揮発性データやファイルシステムデータを収集
- USBドライブに収集
- Volatilityを使用してメモリイメージを分析
- 収集されたデータを概観して範囲を特定
- 脅威のタイムラインを表示してコンテキストを収集
- HTML・CybOX形式でレポートを生成
自動化と分析
Standard版
お問い合わせ:sales@cybertriage.com
Liteのすべての機能をサポート
- ネットワーク上で収集
- データを自動的に分析して疑わしいアイテムを特定
- ReversingLabs および PolySwarm の利用でマルウェアを検出
- Yaraルールを使用してファイルを分析
- 信頼できる既知のアイテムをホワイトリストに登録して非表示にする
- 侵害インジケーター(IOC)をブラックリストに登録してフラグを立てる
- 特定ののユーザーの過去の収集と相関付けて、共通のアイテムの状況を特定
- インシデントごとにホストをグループに分けて、レポートと相関関係の精度を高める
- SIEMへのインポートが可能なJSON形式でレポートを生成
共有、統合とオーケストレーション
Team版
お問い合わせ:sales@cybertriage.com
Standardのすべての機能をサポート
- 複数のホストから同時に収集
- REST APIを使用してSIEMやオーケストレーションツールと統合
- マルチユーザーデータベースにデータを保存
- すべてのユーザーの過去の収集と相関付けて、共通のアイテムの状況を特定
