調査 - 認証イベント

Carbon Black Cloud Enterprise EDR は Identity Intelligence を搭載しています。Identity Intelligence は、Windows エンドポイントで発生する認証イベントを可視化します（Windows 10.0.15063 以降で実行している Carbon Black Cloud Windows Sensor 3.9.1 以降でサポート）。

注： [プロセス] タブと [認証イベント] タブは、 Carbon Black Cloud Enterprise EDR ユーザーのみが使用できます。

Identity Intelligence は、Carbon Black Cloud Enterprise EDR がユーザー認証アクティビティに提供する可視性を向上させます。このタイプのエンドポイントテレメトリは、アノマリと脅威を特定するために不可欠です。

Identity Intelligence を使用すると、Carbon Black Cloud Enterprise EDR はさまざまなタイプの Windows 認証イベントを収集します。このイベントは、[調査] ページの [認証イベント] タブで報告されます。

Windows 認証イベントのレポートは、プロセスイベントのレポートを補完します。これにより、認証とプロセスアクティビティの相関が可能になり、よりコンテキストに富んだ脅威ハンティング、調査、インシデント応答が得られます。

認証イベントデータは、次のイベント（およびその他）に関する判断材料を提供します。

攻撃者の認証ベースの戦略、技術、手順 (TTP)
対象のプロセスアクティビティが発生したときにエンドポイントにログインしていたユーザー
エンドポイントへのログインを試行したが失敗したユーザー
総当たり攻撃
想定時間外にログインを試行しました
アノマリまたは疑わしいソースからのリモート認証の試行
権限昇格の試行
アカウントの変更
盗まれた認証情報の使用
エンドポイント間の水平方向の移動
インサイダー脅威の動作

Security Operations Center (SOC) アナリストが認証イベントのレポートから得られるメリットの一部は次のとおりです。

エンドポイントアクティビティの可視性の向上
脅威ハンティングおよびインシデント応答中の追加のコンテキスト
認証イベントとプロセスイベントの相関関係の向上
平均応答時間の短縮 (MTTR)
統合：認証イベントの収集に対するサードパーティソリューションへの依存度が低下しました

ヒント: 認証イベント APIを使用して、Windows エンドポイントで発生する認証イベントを可視化することもできます。