Incident Response as a Service(IRaaS)

Incident Response as a Service(IRaaS)は、Check Pointの提供サービスであり、Check Pointの アナリストが、お客様の組織に代わってエンドユーザからの報告およびリクエストを評価して対応し、これらの責務からお客様のSOC/ヘルプデスクチームを解放します。このサービスは、途切れることのない24時間365日の対応を提供し、簡潔なSLAに準拠しているため、迅速な対応を確実にします。

IRaaSの有効化

注文書が処理されると、Check Pointは自動的にIRaaSを開始します。その後、Check Pointの アナリストがすべてのエンドユーザからの報告を分析し、予防措置を講じます。

IRaaSを購入するには、お客様のCheck Point担当者にお問い合わせください。

エンドユーザレポートへの対応

割り当てられたロールのCheck Pointのアナリストは、エンドユーザレポートのメールを確認し、それが悪意のあるメールか無害かを判断したうえで、必要に応じて対応を行います。

  • エンドユーザから報告されたフィッシングメール

    • 悪意のあるメール - アナリストはユーザレポートを承認し、報告されたメールはユーザ'のメールボックスから削除されます。

      キャンペーン全体を修復するために、類似したメールも他のユーザ'のメールボックスから削除されます。詳細:フィッシングキャンペーン全体の自動隔離.

    • 無害なメール - アナリストはユーザレポートを却下し、メールはユーザ'のメールボックスに残ります。

    • 判定不能 - アナリストがそのメールが悪意のあるメールか無害かを判断できない場合、ユーザレポートは承認され、メールは悪意のあるメールとして扱われます。

  • エンドユーザによる隔離メールの復元リクエスト

    • 悪意のあるメール - アナリストはリクエストを却下し、メールは隔離されたままになります。

    • 無害なメール - アナリストはリクエストを承認し、メールはユーザ'のメールボックスに復元されます。

    • 判定不能 - アナリストがそのメールが悪意のあるメールか無害かを判断できない場合、ユーザリクエストは承認され、メールはユーザ'のメールボックスに復元されます。

フィッシングキャンペーン全体の自動隔離

その際Check Pointのアナリストがユーザから報告されたフィッシングメールを承認すると、Email Security はそのフィッシングキャンペーン内のすべてのメールを検出して隔離します。

Email Security は、メールの以下のすべての特性が報告されたメールと一致する場合、そのメールをフィッシングキャンペーンの一部とみなします。

  • サブジェクト

  • 送信元アドレス

  • 返信先アドレス

  • SPF の結果

  • メールスレッド内の位置 - 送信者と受信者の間で複数の返信がある場合、返信のシリアル番号が一致している必要があります。

    たとえば、保護対象組織の従業員がメール(番号 1)を受信し、それに返信し(番号 2)、その後、送信者から別の返信(番号 3)を受信したとします。このとき、従業員がこの返信(シリアル番号 3)をフィッシングとして報告した場合、スレッド内で 3 番目にあたる他のメールのみが隔離されます。

エンドユーザへのフィードバック

割り当てられたロールのCheck Pointのアナリストは、下したすべての判断について根拠を追加します。管理者は、却下された隔離復元リクエスト、および承認または却下されたフィッシングレポートに対する根拠を含むメール通知を送信するように Email Security を設定できます。

Email Security でエンドユーザ通知を送信するよう設定するには、エンドユーザへのメール通知の送信.

管理者へのフィードバック

Incident Response as a Service(IRaaS)を有効化すると、管理者は毎日、Check Pointのアナリストが管理したすべてのレポートの概要を含むメールを受信します。

レポートは 2 つのセクションで構成されます。1 つは隔離からメールを解放するリクエスト用、もう 1 つはユーザによって報告されたフィッシングメール用です。これらのセクションには、分析されたさまざまなメールと、アナリストの根拠が表示されます。

以下で処理されたレポートの検索Check Pointアナリスト

メールを表示するには、 そのCheck Pointのアナリストが管理したメールを表示するには、User Interaction に移動し、Restore Requests または User Reported Phishing にアクセスします。次のものが表示されます。

  • 値が Action byCheck Point analyst カラムは、Check Pointアナリストが処理したメールです。

  • Action Justification カラムには、アナリストによるアクション(承認/却下)の理由が表示されます。

Events ページから、ユーザが報告したフィッシングイベントを表示できます。によって解決されたすべてのイベントをフィルタリングするには、Check Pointアナリスト:

  1. Eventsに移動します。

  2. Check Point analyst フィールドに対して、フィルタ Remediated by を適用します。

によって処理されたメールのセキュリティイベントを開くと、Check Pointアナリストの Email Profile カードに、ユーザコメント、実行されたアクション、および追加の詳細が表示されます。

フィッシングシミュレーションソリューション

多くの組織では、従業員にフィッシング攻撃の検知方法と報告方法を教育するために、フィッシングシミュレーションソリューションを使用しています。これらのソリューションは、従業員に偽のフィッシングメールを送信し、操作の実行、添付ファイルの開封、またはフィッシングURLのクリックを行わせようとします。

Email Securityは、一般的に使用されているフィッシングシミュレーションソリューションからのこのようなメールを自動的に検知します。これらのメールに関するユーザからのフィッシングレポートは自動的に拒否されます。

Email Securityは、以下のフィッシングシミュレーションソリューションを検知します。

フィッシング シミュレーションソリューション

ActiveTrail

攻撃シミュレーショントレーニング

BenchMark

CybeReady

Hook Security

Hoxhunt

HubSpot

Infosec IQ

KnowBe4

MailChimp

MailGun

MailJet

MimeCast

Phished

PhishMe

ProofPoint

SendGrid

SendInBlue

Sophos Phish Threat V2

TargetHero

TerraNova

ZoHo

別のフィッシング シミュレーションソリューションを使用している場合:

  • フィッシング シミュレーションメールの検知を回避するには、そのソリューションのIPアドレスに基づくアンチフィッシング許可リストルールを追加してください。

    許可リストの追加については、以下を参照してくださいアンチフィッシングの例外.

  • 既知のフィッシング シミュレーションツールのフィッシング レポートは自動的に拒否されます。

  • 新しいフィッシングシミュレーションソリューションのサポートをリクエストするには、以下にお問い合わせくださいCheck Point Support.

  • フィッシングシミュレーションメールに関するエンドユーザ'のフィッシングレポートを自動的に拒否するには、以下にお問い合わせくださいCheck Point Support.

IRaaS での問題への対処

IRaaS に関する問題については、お問い合わせくださいCheck Point Support.