Live Response を使用して、リモート調査を実行し、進行中の攻撃を阻止し、コマンド ライン インターフェースを使用して脅威を修正します。

Live Response の有効化または無効化

Live Response を使用するには、Carbon Black Cloud で Live Response の権限を持つロールをユーザーに割り当てる必要があります。Live Response は、バージョン 3.0 以降のセンサーを実行し、Live Response が有効化されたポリシーが割り当てられたエンドポイントで使用できます。

[ポリシーで]Live Response[ を有効化または無効化するには]

  1. [適用] をクリックして、次に [ポリシー] をクリックします。
  2. ポリシー グループを選択します。
  3. [センサー] タブで、該当する場合は [ を有効にする]Live Response チェックボックスを選択または選択解除し、[保存] をクリックします。

[エンドポイントで]Live Response[ を無効化するには]

  1. [エンドポイント] をクリックし、センサーを選択します。
  2. [アクション実行] をクリックして、次に [ を無効にする]Live Responseをクリックし、アクションを確認します。
注:

DISABLE_LIVE_RESPONSE オプションを使用して、コマンド ライン センサーのインストール中に Live Response を無効にすることもできます。

Live Response セッションの開始

[アクション]列の下にある [[Go Live]] アイコン を使用して、仮想マシン ワークロードの Live Response をアクティブにします。ボタンは、有効、無効、または表示されない可能性があります。

有効 () 仮想マシンは稼動しており、必要な Live Response 権限が存在します。
無効 () 仮想マシンが過去 30 分以内に Carbon Black Cloud サーバに接続していません。理想的には、仮想マシン lastContactTime は 30 分以内である必要があります。
表示されない Live Response 固有の権限ロールが割り当てられていない場合。

少なくとも org.liveresponse.session (読み取り、書き込み) 権限が必要です。

ユーザー ロールの権限に関する詳細については、ロールの権限の説明 を参照してください。

Live Response をアクティブにすると、セッションを作成して接続します。最大 100 のセッションを同時に実行でき、複数のユーザーを同じセッションに接続できます。各セッションは 250 コマンドに制限されています。

Live Response は、バイパス モードまたは隔離のデバイスで使用できます。

Live Response[ セッション][開始するには]

  1. [エンドポイント] をクリックし、センサーを選択します。[Alerts (アラート)]、[Alert Triage (アラートのトリアージ)]、[Investigate (調査)] ページで Live Response セッションを開始することもできます。
  2. [アクション]列で、[[Go Live]] アイコン をクリックし Live Response セッションを開始します。
  3. コマンド ウィンドウ エリアをクリックし、help コマンドを入力して使用可能なコマンドのリストを表示、または Live Response のコマンド リファレンスを使用します。help commandname を入力し、特定のコマンドに関するヘルプを取得します。
注:

複数のユーザーがセッションを介してほぼ同時にコマンドを送信する場合、各コマンドは次のコマンドを開始する前に実行を終了する必要があります。あるユーザーが行っていることを別のユーザーが元に戻したり、変更したりできます。

Live Response[ コマンド ウィンドウス ステータス インジケータ]

コマンド ウィンドウは、特定のステータスとメッセージを示すために色分けされています。

  • [緑:] センサーは接続され、セッションが確立されています。エンドポイントのホスト名が表示されます。

  • [黄色:] CB バックエンドがセンサーのチェックインを待機しているか、セッションが接続されていないためエンドポイントが接続されていません。

  • [赤:] エンドポイントがオフラインであるか、センサーが無効になっているか、センサー バージョンが Live Response をサポートしていないため、センサーとのセッションを確立できません。

Live Response セッションの終了

Live Response セッションから離れる、または終了できます。

  • [マイ セッションの終了] をクリックしてセッションから離れます。セッションに接続された他のユーザーは、そのセッションが終了するまで残ります。

  • コマンド detach を入力してセッションから離れます。セッションに接続された他のユーザーは、そのセッションが終了するまで残ります。

  • コマンド detach -q を入力してセッションを終了します。セッションに接続されている他のユーザーも切り離されます。

注: デフォルトでは、非アクティブな状態が 15 分間続くとセッションがタイムアウトになります。次のイベントにより、セッションがタイムアウトになります。
  • センサーがバックエンドに 15 分間チェックインしない場合、センサーがタイムアウトになります。
  • センサー ユーザー インターフェイスで 15 分間非アクティブ状態の場合、セッションがタイムアウトになります。

Live Response アクティビティのログ作成

Live Response アクティビティは、アクセスしたセンサーと Carbon Black Cloud バックエンドに記録されます。アクセスされたセンサーのセッション中に実行されたコマンドは、エンドポイントのセンサー インストール フォルダにある cblr.log ファイルに記録されます。