Threat Response-Übersicht

Verwenden Sie Threat Response, um Maßnahmen zur Reaktion auf Zwischenfälle von Stunden oder Tagen auf Minuten zu beschleunigen. Angriffe und die daraus resultierenden Geschäftsstörungen erkennen, darauf reagieren und sich schnell davon erholen.

Erkennung

Threat Response überwacht die Aktivität in Echtzeit und generiert Warnmeldungen, wenn potenzielles schädliches Verhalten erkannt wird. Sie können Bedrohungsinformationen aus einer Vielzahl von seriösen Quellen konfigurieren. Verwenden Sie diese Informationen, um Endpunkte nach bekannten IOC zu durchsuchen und eine Reputationsanalyse durchzuführen. Die Reputationsdaten, die Threat Response verwendet, vergleichen kontinuierlich Aktivitäten wie alle ausgeführten Prozesse, autorun-bezogene Dateien und geladene Module mit bekannten schädlichen Hashs, die von Benutzer-Hashlisten oder anderen Diensten wie Palo Alto Wildfire, VirusTotal und ReversingLabs definiert werden.

Untersuchung

Threat Response zeichnet kontinuierlich wichtige Systemaktivitäten für forensische und historische Analysen auf. Sie können nach spezifischen Aktivitäten für jeden Endpunkt in einem Unternehmen suchen und Prozess- und Benutzeraktivitäten auf einzelnen Systemen nach Echtzeit- und historischen Ansichten aufschlüsseln.

Eindämmung

Threat Response umfasst Sensoren und Pakete, die Endpunktvisibilität und Behebung bieten. Mit den Sensoren können Sie schnell Endpunktdaten nach Anzeichen für Gefährdungen durchsuchen. Wenn Sie kompromittierte Endpunkte entdecken, können Sie Threat Response Pakete verwenden, um Vorfälle zu isolieren und eine weitere Gefährdung, Datenlecks und laterale Auswirkungen zu verhindern.

Integration mit anderen Tanium-Produkten

Threat Response bietet eine eingebaute Integration mit Tanium™ Connect, Tanium™ Enforce, Tanium™ Impact, Tanium™ Protect und Tanium™ Trends für zusätzliche Alarmierung, Behebung und Trenderstellung von Daten im Zusammenhang mit Vorfällen.

Connect

Konfigurieren Sie ein Connect-Ziel zum Exportieren von Threat Response-Daten außerhalb von Tanium. Connect kann Informationen an die Produkte und Dienstleistungen des Security Information and Event Management (SIEM) senden, einschließlich Micro Focus ArcSight, IBM QRadar, LogRhythm, McAfee SIEM und Splunk. Weitere Informationen finden Sie im Tanium Connect Benutzerhandbuch: Konfigurieren von SIEM-Zielen. Threat Response sendet Hash-Informationen aus gespeicherten Fragen an Connect und Reputationsdienstleister, die Prozess-Hashes erarbeiten, mithilfe derer man den Reputationsstatus auf einen Blick ablesen kann. Sie können auch eingehende Verbindungen aus Quellen wie Palo Alto Wildfire konfigurieren, um Bedrohungsdaten zu erstellen.

Schutz und Durchsetzung

Verwenden Sie Threat Response-Ergebnisse, um Richtlinien für Prozess- und Netzwerkregeln für Endpunkte zu erstellen, um zukünftige Vorfälle im gesamten Netzwerk zu verhindern. Versäumen Organisationen, grundlegendere Schwachstellen, die während eines Vorfalls ausgenutzt werden, zu identifizieren und zu beheben, wird ihre Sicherheitslage nicht verbessert.

Auswirkung

Nutzen Sie die Integration von Warnmeldungen bei Impact, um einen datengesteuerten Ansatz bei der Verwaltung lateraler Auswirkungen innerhalb Ihrer Organisation zu verfolgen, indem Sie Abhängigkeiten von Zugriffsrechten identifizieren, priorisieren und beheben, um die Angriffsfläche zu reduzieren, Aktionen zu priorisieren und Vorfälle zu beheben.

Trends

Standardmäßig enthält Threat Response Trends-Gruppierungen, die eine Datenvisualisierung für Threat Response-Konzepte bereitstellen.

Threat Response – Warnungen

Wenn eine Übereinstimmung mit Informationen erkannt wird, die Sie in einer Computergruppe bereitgestellt haben, wird eine Warnung vom Endpunkt generiert und an Threat Response gemeldet. Die Gruppierung Threat Response – Warnungen bietet Visualisierungen, die Muster von Warnungen im Laufe der Zeit an den Endpunkten in einer Umgebung veranschaulichen. Die Gruppierung Threat Response – Warnungen enthält die folgenden Panels:

  • Anzahl der Lifetime-Warnungen

  • Warnungen nach Endpunkt

  • Warnungen nach Informationsart

  • Warnungen nach Label

  • Warnungen nach Status

  • Warnungen nach Information

  • Warnungen nach Informationsquelle

  • Threat Response-Abdeckung

  • Mittlere Zeit zur Untersuchung von Warnungen

  • Mittlere Zeit für die Behebung von Warnungen

Threat Response – Verteilung

Die Gruppierung Threat Response – Verteilung visualisiert den Status von Threat Response-Komponenten an Endpunkten in einer Umgebung und bietet Einblick in alle Bereiche von Threat Response, die Korrekturmaßnahmen erfordern. Die Gruppierung Threat Response – Verteilung enthält die folgenden Panels:

  • Gesamtstatus

  • Engine-Status

  • Index-Status

  • Rekorder-Status

  • Status der Tools zur Reaktion auf Zwischenfälle

  • Zustand von Threat Response

  • Engine-Zustand

  • Rekorder-Zustand

  • Status des Index Scan

  • Zeit des letzten Scans erkennen

  • Phase des Index Scan

  • Versionsnummer von Dokumenten erkennen

  • Profil-ID und Versionsnummer erkennen

  • Toolversion erkennen

  • Index-Toolversion

  • Version der Tools zur Reaktion auf Zwischenfälle

  • Version der Rekorder-Tools

Damit ein Benutzer die Trends-Boards auf der Threat Response-Startseite sehen kann, stellen Sie sicher, dass er die Berechtigung Trends Data Read (Trenddaten lesen) besitzt.

Für weitere Informationen zum Importieren der Trends-Gruppierungen, die von Threat Response bereitgestellt werden, siehe Benutzerhandbuch für Tanium Trends: Import der anfänglichen Galerie.