アラートは、[ウォッチリスト][USB デバイス制御][CB 分析][ホストベースのファイアウォール][コンテナ ランタイム]、または [侵入検知システム (IDS)] から発生します。[種類]フィルタを使用して各ソースからアラートを表示します。

[ウォッチリスト アラート]

ウォッチリストでは、潜在的な脅威と疑わしいアクティビティについて、環境を継続的に監視するカスタム検出が利用できます。

ウォッチリストからのアラートの受信はオプションであり、ウォッチリストをサブスクライブするか、カスタム ウォッチリストを作成するときに、[ウォッチリスト] 画面で設定できます。

注: Carbon Black Cloud マネージド脅威ハンティングのユーザーの場合に限り、 Carbon Black Managed Detection and Response チームが検出した脅威に対してウォッチリスト アラートの横に青い [MDR] または [MDR 脅威ハンティング] バッジ が表示されます。 Carbon Black Cloud マネージド脅威ハンティングのユーザーは、バッジをクリックしてアラートに関する追加情報を確認できます。

[USB デバイス制御アラート]

エンド ユーザーがブロックされた USB デバイスにアクセスしようとすると、ポリシーの拒否アクションがトリガされアラートが発生します。USB デバイス制御アラートをトリアージしたり調査したりすることはできません。

[CB 分析アラート]

CB 分析アラートは、Carbon Black Cloud 分析エンジンで生成される検出です。

[ホストベースのファイアウォール アラート]

ホストベースのファイアウォール アラートは、定義されたファイアウォール ルールに違反した場合にユーザーに通知します。ルールが [ポリシー] 画面で [ブロックとアラート] に設定されている場合、関連付けられたアラートが生成されます。
注: ホストベースのファイアウォール アラートには、最大 100 個の観測が含まれています。100 を超えると、 Carbon Black Cloudは追加の重複観測を抑制します。

[コンテナ ランタイム アラート]

コンテナ ランタイム アラートは、コンテナ ランタイム ポリシーに従って悪意があると疑われる動作を示します。これらのアラートは、次のいずれかの結果です。
  • ワークロードの動作のアノマリ、またはポート スキャンなどの既知の攻撃パターンに一致する動作の結果。
  • レピュテーションが悪い IP アドレスへのアウトバウンド接続。

[侵入検知システム (IDS) アラート]

IDS は、ネットワーク アクティビティを既知のシグネチャに照らし合わせて監視し、潜在的な脅威と疑わしいアクティビティを監視します。

分析の優先順位付けと集中度を高めるため、 Carbon Black Cloudは、CB 分析アラートのキューを確認する際に、 [フィルタ] パネルの [脅威] ボックスのみを選択することをお勧めします。
注: IDS アラートには、最大 100 個の観測が含まれています。100 を超えると、 Carbon Black Cloudは追加の重複観測を抑制します。

特定のアラート タイプの表示

この手順を使用して、特定のアラート タイプを表示します。

手順

  1. 左側のナビゲーション ペインで、[アラート] をクリックします。
  2. [フィルタ] ペインの [タイプ] で、次のいずれかを選択して、そのタイプに固有のアラートを表示します。
    • [CB 分析]
    • [ウォッチリスト]
    • [USB デバイス コントロール]
    • [ホストベースのファイアウォール]
    • [コンテナのランタイム]
    • [侵入検知システム]
    注: 1 度に複数のタイプを選択できます。
    各アラートは、 [フィルタ] ペインの右側のリストに表示されます。
  3. アラートをダブルクリックするか、[アクション] 列の右の [>] をクリックして右のパネルを拡大表示します。
  4. 各アラートについて、右パネルの [アラートの詳細] セクションの右上隅にあるドロップダウン矢印を使用できます。
    使用可能なオプションは、アラートのタイプによって異なります。「 アラートでのアクション実行」を参照してください。