OpenText™ EnCase™ Endpoint Security 6.04は、当社が開発した業界屈指のエンドポイントディテクション&レスポンス(EDR)ソリューションの最新リリースです。
サイバー攻撃の高度化に伴い、インシデント対応者は、データの消失や損傷のリスクを低減するため、脅威の検出と封じ込めを迅速かつ効率的に行う必要があります。そのため、EnCase Endpoint Security 6 (英語)は、アナリストがセキュリティインシデントの検出とトリアージをより迅速に行えるように、自動化と運用効率を重視した設計となっています。
OpenText Release 16 EP4の構成要素であるEnCase Endpoint Security 6.04は、この課題に基づいて構築されており、Splunkとの完全な統合や新しいSnapshot Compareスナップショット比較機能など、セキュリティファーストのワークフローに焦点を当てた機能が搭載されています。これらの機能は、OpenTextの最上位のセキュリティソリューションに採用されており、高度な自動化やセキュリティイベントのコンテキスト化を実行し、迅速な意思決定やセキュリティの向上を可能にしています。
双方向Splunk統合を活用して、単一画面のユーザーエクスペリエンスを実現
Endpoint Security 6.04には、Splunkとの完全な双方向の統合機能が組み込まれています。この機能により、インシデント対応者は、単一画面(この場合は、Splunk)からセキュリティイベントをトリアージすることができます。セキュリティインシデントがSplunkによってトリガーされると、Endpoint Securityは、ターゲットエンドポイントのスキャン、レピュテーションの分析、イベント詳細レポートの生成を自動的に行います。インタラクティブな統合機能により、このレポート内で生成されるすべてのデータ(すべてのプロセス、DLL、接続、DNSを含む)を、互換性のあるTSVファイルでSplunkに直接エクスポートすることが可能です。
この最新のSplunkとの統合では、以前のバージョンよりもはるかに詳細な情報が得られます。また、特に脅威インテリジェンス、脅威スコア、DNSに関して、新しい情報を得ることができます。当社が目標としたことは、インシデント対応者に統合性や柔軟性に優れた最善のEDRソリューションを提供することです。これにより、インシデント対応者は、複数のセキュリティツールではなく、使い慣れたアプリケーションを使用して、トリアージを行えるようになります。
スナップショット比較によるセキュリティインシデントの迅速なトリアージ
Endpoint Security 6.04には、Snapshot Compareも組み込まれており、セキュリティアナリストは、根本原因分析を効率的に行うことができます。指定されたセキュリティイベントが発生した場合、調査担当者は、ターゲットエンドポイントのスナップショットと他のベースラインスナップショットとを迅速に比較することができます(他のベースラインスナップショットは、ターゲットエンドポイントと同じマシン上にあっても、なくてもかまいません)。
Snapshot Compareでは、同じデータポイントが自動ですべて除外され、新しいまたは欠落しているプロセス/接続のみが表示されます。そのため、インシデント対応者は、アラート発生の原因として何が考えられるかを迅速に判断することができます。
アラートが(例外検出ルールを通じて)Endpoint Securityによって生成された場合でも、SIEMアプリケーションによって起動された場合でも、インシデント対応者は、コンテキスト化されたスナップショットデータを使用して根本原因分析を簡単に行うことができるため、非常に便利です。また、この機能は、UI/UXが刷新され、大変使いやすくなっています。この使いやすさは、初めてご利用になったときからお分かりになるでしょう。
セキュリティ操作の自動化によるリスクの最小化
これらの機能のほかにも、EnCase Endpoint Security 6.04 (英語)は、プロセスと接続を新たな方法でグループ化して関連データを検索できるようになりました。EDRソリューションのワークフローを自動化し、ユーザー機能を強化することにより、根本原因の調査に伴うコスト、複雑さ、時間が、従来と比べて大幅に削減されました。その結果、既知のリスクと未知のリスクがともに軽減され、データ侵害事件としてニュースで報じられるような事態が起きる可能性も低くなります。
セキュリティチームは、EnCase Endpoint Securityの強力な統合・自動化機能を使用して、さまざまな処理を行えるようになりました。
サイバーセキュリティ、eDiscovery、犯罪科学調査の専門家が集う最大規模の集会、Enfuse 2018 (英語)でEnCase Endpoint Securityの機能をぜひご覧ください。
(当ブログは2018年5月2日に米国で発表されたIntegration and automation let cybersecurity teams do more with lessブログ記事 (英語)の抄訳です)