統合化されたインシデントエンジンにより、関連するアラートを1つのインシデントにグループ化します。ワンクリックで攻撃の根本原因を明らかにします。
また、疑わしい端末のネットワーク隔離や、プロセス停止、遠隔操作による各種対応も容易に行えます。

統合されたインシデントエンジン

インシデント管理機能は、関連するアラートをグループ化し、1つの統合ビューで攻撃のツール、影響、およびステップを明らかにします。各インシデントには、攻撃のすべての要素を総合的に確認できる所有者を割り当てることができます。

• 一連のマルウェア動作によって発生した複数のアラートは、1つのインシデントに統合
• 類似アラートが発生した場合でも、自動的に過去のインシデントに紐づけて更新

自動化された根本原因分析

インシデント管理ビューから、アナリストはアラートを右クリックして根本原因を確認することができます。自動化された根本原因分析は、プロセスを親プロセスと子プロセスに動的に関連付けて、明示的に因果関係を表示します。そのため、アナリストは、何が起こったのか、どのプロセスが攻撃の根本原因であったのかを正確に特定することが可能となります。アナリストは、チェーン内の各要素をクリックして、プロセスによって実行されたCLIコマンドやその他の詳細を調査可能となります。

統合された応答

Live Terminal 機能により、アナリストは、エンドポイントへ直接アクセスし、エンドポイント上のセキュリティイベントに対してリモートで調査、対応が可能となります。
この機能を使用することで、遠隔での端末の隔離、悪意のあるファイルの検索及び削除、エンドポイント上で実行しているプロセスの監視等が可能となります。
また、感染した疑いのある端末を隔離することで、他の端末との通信を遮断し、横感染を防ぐことが出来ます。