提供されるエンドポイントフォレンジック防御システムは、次の機能を満たす必要があります。
- 防御メカニズムは、署名なしですべてのエンドポイントの脅威を保護できる必要があります。
- 防御メカニズムは、ファイルおよびメモリ内の攻撃なしで攻撃を防ぐことができる必要があります。
- リモートイベント処理サービスを装備する必要があり、要件に応じて無制限の数のイベント処理レポートを提供できます。
- 自動統合検出情報を取得し、イベントの主な原因と軌跡を自動的に関連付け、セキュリティインシデントレポートで視覚的な軌跡と時間の流れを提供する必要があります。
- 収集されたログは、ルールに従って部分的に傍受されるのではなく、リアルタイムで収集されたすべてのデータでなければなりません。
- APTイントラネットの脅威を検出した後、プラットフォームはIT担当者に自動または手動で削除、検疫、または悪意のあるプログラムを停止するための推奨される廃棄方法を提供できます。
- 推奨される廃棄方法により、IT担当者は、通常の接続機能が回復するまで、影響を受けるクライアントシステムのネットワーク機能を手動または自動で中断できます。
- DLLインジェクション、リモートファイル共有、およびリムーバブルメディアやデバイスなどの関連するマルウェアアクティビティと動作を検出する必要がある。
- 実行可能ファイルのハッシュ値を自動的に計算し、プログラムとファイルのハッシュ値に従って検索を実行して、ユニットの他のユーザーに存在する可能性のある同じ異常ファイルを比較できます。
- さまざまな侵入攻撃のプロセスを文書化し、完全な攻撃パスを分析し、管理者にマルウェア攻撃パターンに対応して脅威を排除する方法を提供する必要があります。
- グループ管理のためにグループ機能をサポートする必要がある
- 収集されたデータには、プロセス、ファイル、メモリ、ネットワーク、マシンコードなどの操作の記録が含まれている必要があります。
- 各エンドポイントスキャン分析には、システムアクティビティの記録が含まれている必要があります。 (7x24インスタントインクルージョン)
- オンライン照会イベントは30日間照会でき、他のメカニズムで少なくとも6か月間保存できます。
- サービス期間中、Sensorがインストールされているホストがあり、無制限の数のセキュリティアラート分析とマルウェア処理を提供します。
- 検出と分析は、リモートの中断のない検出および監視モードを採用する必要があり、ユーザーエンドの内部ネットワークに展開され、自動応答メカニズムとリモート(管理)メカニズムを採用する必要があります。
- オペレーティングシステムをサポートする必要がある
- Windows 7 SP1(32および64ビット)以上
- Windows 8.1(32&64ビット)以上
- Windows 10(32および64ビット)以上
- Windows Server 2008 R2以降
- Windows 2012 R2以降
- Windows 2016以降
- 脅威検出対応サービスインシデントの通知、分析プロジェクトが必要です。
- 権限昇格アクティビティ
- プログラム実行記録
- 不審なファイル実行記録
- 内部脅威活動
- システム侵入の兆候
- メモリ異常動作
- インターネット活動
- 疑わしい居住者の行動
- PowerShell操作の動作
- マシンコードアクティビティイベント
- 通知レコードには、影響を受けるホスト名、マルウェア、悪意のあるリレーのリスト、および推奨される処置を含める必要があります。
- 脅威検出対応サービスには、管理者アクセス用の専用ポータルが必要です。
- 資産管理者の処分方法を提供する必要があります。これには、プログラムの停止と悪意のあるプログラムの隔離が含まれます。
- 自動出力APTイントラネット脅威分析サービスレポートを提供する必要がある
- セキュリティインシデントの発生後、ホスト間のログイン記録、ファイル移動の記録、組織の活動の状態、時間軸から始まる異常な行動のホスト、内部拡散後の被害者など、ホスト間の関係を示す視覚的なレポートを提供できます。
- 契約期間中のサービスレベル:この契約は製品または承認だけではなく、製造業者が必要とするサービスレベルは次のとおりです。
- –インスタントイベント分析サービス
- –契約期間中に無制限の数のイベント処理サービスを提供する
- –契約期間中に無制限の数のマルウェア削除サービスを提供する
- –契約期間の範囲内でマルウェア分析サービスを提供する
沒有留言:
張貼留言