推奨事項とは、環境の健全な状態を改善するために選択して適用する、推奨される構成であり、レピュテーション オーバーライドです。現在、ハッシュと IT ツールの推奨事項を使用できます。

Carbon Black Cloud は、以下に関するデータ分析に基づいて推奨事項を生成します。

  • 現在の組織でブロックされたイベント
  • すべての組織でブロックされたイベント
  • 承認されたレピュテーション ルール
ヒント: 推奨 APIを使用して、推奨事項を管理することもできます。

推奨事項を使用する理由

Carbon Black Cloud Endpoint Standard 製品の検出および防止機能のメリットを活用し、セキュリティ標準に準拠するには、高い適用ポリシーを有効にする必要があります。Carbon Black Cloud は、データ マイニングを通じて組織固有の推奨事項を生成し、アカウントに適用することで、このようなポリシー ルールを自動的に提示します。

以下に、推奨事項によって組織で解決される問題の一部を示します。

  • アラート負荷を調製する認識ワークロードを削減する。
  • 実行可能な項目に焦点を当てる。
  • 環境での実行が許可されているソフトウェアの承認を追加する
  • 新規ユーザーがより迅速にセキュアな状態になるように調整時間を短縮する

推奨事項は、Carbon Black Cloud Endpoint Standard 製品で利用でき、コンソールの調整や環境の最適化に役立ちます。Carbon Black Cloud は、組織の環境に与える影響と関連性に基づいて推奨される事項に優先順位を付けます。これにより、これらの推奨されるアクションを受け入れて実行する前に、さらに確認することができます。このサービスは、例外を識別する際の認知負荷を軽減します。

推奨事項を表示できる場所

新しく生成された推奨事項は、ナビゲーション パネルの [適用] > [推奨事項] 画面の Carbon Black Cloud コンソールに表示できます。

  • [新規] タブで、組織の最新の推奨事項を表示します。ここで、推奨事項を受け入れるか拒否するかを決定します。

    1 日あたり最大 10 件のパーソナライズされた推奨事項を表示できます。新しい推奨事項は毎日更新されます。推奨事項を使用して、承認済みリストを更新できます。確認されていない推奨事項は、30 日後に期限切れになります。

    Carbon Black Cloud コンソールは、設定されたルールに応じてコンテンツを含むカード ビューで新しい推奨事項をそれぞれ表します。次に、ハッシュと IT ツールの推奨事項のコンテンツ例を示します。

    • 推奨事項のタイプ。
    • 過去 30 日間に組織内でブロックされたイベントのおよその数。
    • これらのイベントの影響を受けた組織内のデバイスのおおよその数。
    • [調査] 画面へのリンク。ここには、その推奨事項に関連するセンサー イベントとデバイスが表示されます。
    • Carbon Black CloudEnterprise EDR を有効にすると、SHA-256 のバイナリの詳細を表示できます。

    確認プロセス中では、推奨事項を承認または拒否する前に、推奨事項に関連する情報を調査できます。この情報には、影響を受けるイベントのタイプと、これらのアラートが検出されたデバイスが含まれます。

  • [確認済み] タブには、すでに承認または拒否されたすべての推奨事項が一覧表示されます。

    推奨事項を受け入れるか拒否するかを選択できます。承認された推奨事項は、承認された提案もシステムの構成に追加します。たとえば、ハッシュまたは IT ツールの推奨事項の場合、承認リストに適用可能なレピュテーションを追加します。

    推奨事項に対するアクションを取り消すには、[確認済み] タブにアクセスして、このアクションを実行する特定の推奨事項を選択します。

また、推奨事項は [アラート] > [アラートの詳細] ペインに表示されます。ここで、特定のレピュテーションからのノイズが最適化および調製されます。推奨事項の改訂を毎日統合することで、環境における Carbon Black Cloud Endpoint Standard の導入の微調整が強化されます。推奨事項を実施すると、検出とアラートのプレゼンテーションの品質が向上し、環境のセキュリティを急速に発展させます。

[推奨事項] 画面内で実行するアクション、および [レピュテーション] 画面の推奨事項に関連するアクションは、[監査ログ] 画面に記録されます。これらのアクションには、推奨事項の受け入れと拒否、ハッシュ、および IT ツールの承認リストへの追加、または承認リストからの削除が含まれます。

レピュテーションの詳細については、レピュテーションの管理を参照してください。

[New (新規)] ページが空になる理由

推奨事項は特定の条件に一致する特定のブロックされたイベントを使用しています。過去 30 日間にその特定の条件に一致するブロックされたイベントがない場合、Carbon Black はハッシュの推奨事項を作成しません。組織に一致するブロックされたイベントがありません。

推奨事項の重複を防ぐためにレピュテーション データをさらに収集するため、この組織に関するデータはまだ存在します。