Back to Blog

Defender ATPでVectra AI社のLockdown機能を拡張

By
Jose Malacara
|
July 14, 2020
AddThis Social Sharing Icons

数ヶ月前、Cognito Network Detection and Response platformの新しい自動応答機能であるVectra Account Lockdownについての記事を書きました。

Active DirectoryのようなIdP(アイデンティティプロバイダー)と連携し、Vectra AI社の世界に誇れる AI 検出機能を活用することで、Account Lockdownは、疑わしい活動を示すネットワークアカウントを自動的に無効化することができます。

アナリストは、セキュリティ調査中にアカウントを手動で無効化できるというオプションもあります。アカウントを無効にすることで、追加リソースへのアクセスを制限し、進行中の攻撃を大幅に遅らせることができます。

これにより、攻撃の範囲が制限され、SOCは攻撃を調査して阻止するための時間を確保することができます。これはお客様から大変好評を得ている機能ですが、特に脅威、確実性、および監視された特権などの高い精度のスコアリングしきい値で自動トリガーするように構成されている場合、まだセキュリティレベルを向上させる手法がありました。即時かつ正確に実行するためには、攻撃の発信源に直接行き、エンドポイント自体をLockdownする必要があるのです。

Microsoft Defender ATPとの連携は、まさにそれを実現するものです。Cognito Detect™ホストにエンドポイントデータを追加するだけでなく、セキュリティアナリストはCognito Detect UIからMicrosoft Defender ATPホスト上でHost Lockdownを実行することができます。

Vectra Account Lockdownと同様に、Host Lockdownは、アナリストがボタンをクリックして手動で実行することも、ホストの脅威、確実性、および監視された特権スコアリングのしきい値に対して自動で実行するように設定することもできます。

自動化されたアクティブなブロック執行では、組織は常にリスクのバランスを取る必要があります。誤検知によるアラートに対する過剰なブロックは、広範囲に及ぶ業務の停止や中断を引き起こし、場合によっては実際の攻撃よりも大きな被害をもたらすことになります。また一方で、アクションを起こさないことで、攻撃者がネットワーク環境でより強力な足場を構築してしまうかもしれません。

Vectra Host Lockdownでは、業界最高の振る舞いベースのAI検出機能とMicrosoft Defender ATPで得られる正確な実行力を活用しています。つまりは、世界クラスの両方のメリットを提供できるということです。これは、自動化によって混乱を最小限に抑えつつ、攻撃者の動きは阻止できるというというベストな方法です。

Host Lockdownの詳細Microsoft Defender ATPとの連携については、こちらをご覧ください。また、当社の製品の連携と動作については動画もございます。デモやその他詳細に関してはお気軽にご連絡ください。

AddThis Social Sharing Icons