[調査] 画面の [認証イベント] タブには、Carbon Black Cloud Enterprise EDR ユーザーの Windows エンドポイントで発生するユーザー認証イベントが表示されます。
注: デフォルトでは、認証イベントの収集は無効になっています。[調査] 画面で認証イベントを表示するには、ポリシーで
[認証イベントの収集を有効にする] 必要があります。
認証イベントの収集を有効にするを参照してください。
左側のナビゲーション ペインで、[調査] をクリックし、[認証イベント] タブをクリックします。イベントを検索します。認証イベントの使用可能な検索フィールドを表示するには、製品内の『検索ガイド』を参照してください。イベントを次の基準でフィルタリングできます。
| Windows イベント ID | ユーザー名 | ユーザー ID (Windows セキュリティ ID) |
| ログイン タイプ | ログイン ID | ドメイン |
| リモート デバイス | リモート IP アドレス | ポート |
| 権限 | インタラクティブ ログイン | リモート ログイン |
| 親プロセス | プロセス | デバイス |
注: Windows イベント ID フィルタには、フィルタの上にカーソルを置くと表示されるツールチップ機能が含まれています。ツールチップには、Windows イベント ID を説明します。例:
