インシデント追跡

インシデント発生時にリアルタイムで調査。
エンドポイント操作で原因を特定

導入企業が多い次世代FW、日々不審な通信をブロックしたアラートは届くが「なぜ」そのアラートが発生したのか、
どんな対策を行えば良いのかを追求することは、スキル的にも、時間的も難しいのが現状です。
ブロックしているとは言え、数千回、数万回のアクセスブロックや
同じ端末から上がり続けるアラート等は、本当に問題ないのか、不安になります。

境界防御のFWの情報とエンドポイントを管理する LANSCOPE エンドポイントマネージャー オンプレミス版 を合わせることで、
これまで追及が難しかった、真の原因が分かり根本的な対策を実現します。

ファイヤーウォールのアラートを元に
不審な通信を送信している“PC”と“アプリ”を特定

ファイヤーウォールが検知したアラートの
“IPアドレス”、“ポート番号”を元に、アプリ通信ログから該当のプロセスを特定。
HASH情報などから、悪意のあるマルウェアなのか業務利用アプリなのかをすぐに確認。

ファイヤーウォールとアプリ通信のログ図

インシデント発生時の状況をすぐにチェックし原因特定

ファイヤーウォールで検知したアラートや電話でも不審なPCの動きの報告を受けた際でも、
すぐに該当端末のその日の操作を一覧で確認。
どんなWebサイトを見たのか、どんなアプリが動いたのか、どんなファイルを開いたのか、
事実を確認することで早期解決へつなげます。

クライアントログの図

Syslog転送で、SIEMを始め様々な製品との連携を実現

LANSCOPE エンドポイントマネージャー のログをSyslog形式で出力することで、SIEM製品やBIツールとの連携が可能になります。
エンドポイントの操作ログと各企業にある
様々なデータと組合せる事で、より広範囲のログ管理が可能になります。

LANSCOPEのログとSYSLOG形式の出力関係図
オンライン相談してみる