このセクションでは、Carbon Black Managed Detection and Response に関する最もよくある質問に対する回答を提供します。

Carbon Black Managed Detection and Response チームから特定のアラートについて連絡がなかったのはなぜですか?
Carbon Black Managed Detection and Response は、悪意があるまたはアクション可能であるとして識別されたアラートのみをユーザーに通知します。アラート疲れを防ぐために、 Carbon Black Managed Detection and Response は、 Carbon Black Managed Detection and Response チームがアラートを誤検出として識別した場合、アラートについてユーザーに通知しません。
   
日次サマリレポートとは?
サービス レベル目標 (SLO) 内のすべての Carbon Black Cloud Endpoint Standard または Carbon Black Cloud Workload の詳細なアラートの概要を示す日次レポート メールをサブスクライブできます。

日次サマリ レポートには、前日の Carbon Black Managed Detection and Response アクティビティが表示されます。すべての [可能性の高い脅威][可能性の低い脅威] アラートが日次サマリに表示され、Carbon Black Managed Detection and Response が確認したアラートを可視化できます。

  • [可能性の高い脅威] - 環境内において、修正が必要になる可能性のある、真の脅威である可能性の高い脅威。
  • [可能性の低い脅威] - 環境内に存在する可能性の低い脅威。このカテゴリのアラートは、多くの場合、悪意のある攻撃者 (脆弱性スキャナなど) と同様に動作する信頼できるアプリケーションです。

日次サマリの例については、日次サマリの例を参照してください。詳細については、Carbon Black Cloudリリース ノートを参照してください。

   
日次、月次、およびアラート通知にサインアップする方法
Carbon Black Cloud コンソールで、日次サマリ メール、アラート通知、月次レポートにサインアップできます。詳細については、 Carbon Black Managed Detection and Response クイック スタート ガイドを参照してください。
重要: この PDF にアクセスまたはダウンロードする前に、まず Carbon Black User Exchangeにログインする必要があります。
   
Carbon Black Managed Detection and Response からアラート通知を受信するための E メール設定を更新する方法
  1. 左側のナビゲーション ペインで [設定] > [Managed Detection] の順にクリックします。
  2. [受信者を追加] をクリックします。
  3. 新しいメール アドレスを追加します。複数のメール アドレスを追加するには、一度に 1 つずつのアドレスを入力する必要があります。
  4. 受信者に送信する通信の種類を特定するには、チェックボックスをオンにします。
    • 個々のアラートの通知
    • すべてのアラートの日次サマリ
    • 月次レポート
  5. [保存] をクリックします。
Carbon Black Managed Detection and Response のセットアップに関する情報はどこで確認できますか?
Carbon Black Managed Detection and Response のセットアップの詳細については、 Carbon Black Managed Detection and Response クイック スタート ガイドを参照してください。
重要: この PDF にアクセスまたはダウンロードする前に、まず Carbon Black User Exchangeにログインする必要があります。

現在の Carbon Black Managed Detection and Response ユーザーについては、このサイト( Managed Detection and Response を構成する方法)の詳細情報を参照してください。

   
脅威の調査後にデバイスを隔離または隔離しない基準
隔離の決定は、インシデントの詳細によって異なります。隔離は、ポリシー ルールの変更とハッシュ禁止では脅威を封じ込めるのに不十分な場合にのみ、最後の手段として使用されます。

隔離の理由として考えられるのは、ランサムウェア、ラテラル ムーブメントの試行または疑い、認証情報の盗難、またはデータの漏洩です。Carbon Black Managed Detection and Response では、システムのタイプも考慮されます。たとえば、Carbon Black Managed Detection and Response は、ネットワークを停止したり、ビジネス活動を中断したりする可能性のある Active Directory コントローラやその他の重要なシステムを隔離しません。

シシスシステムをいかなる状況でも隔離できない場合、または Carbon Black Managed Detection and Response で特定のシステムを隔離したくない場合は、それらのシステムを独自のポリシーに移動させて、ポリシーの Carbon Black Managed Detection and Response 隔離チェック ボックスの選択を解除します。

   
Carbon Black Managed Detection and Response の E メールはどのようなものですか?
Carbon Black Managed Detection and Response は、注意が必要な重大なアラートの場合にユーザーに通知します。E メールは、次の 2 つのセクションで構成されます。
  1. [アナリスト コメント:]このセクションには、隔離されたアセット、禁止されたハッシュ、トリアージ情報、検出されたインジケータのリストが含まれています。
  2. [実行するアクション:]このセクションには、ユーザーに対する推奨事項と、不要なファイル、レジストリ キー、サービス、およびその他の不要なアーティファクトをデバイスから削除する方法について記載されています。