お使いの環境で実行されたすべてのプロセスの詳細を調査および分析します。
注:
[プロセス] タブと
[認証イベント] タブは、
Carbon Black Cloud Enterprise EDR ユーザーのみが使用できます。
左側のナビゲーション ペインで、[調査] をクリックし、[プロセス] タブをクリックします。
ヒント: また、
プロセス検索 API を使用してセンサーによって報告されたすべてのデータを検索し、設定した特定の基準に基づいて 1 つ以上のプロセスを検索することもできます。
検索結果
製品内の『検索ガイド』を使用して、利用可能な検索語の完全なリストにアクセスし、詳細なクエリの作成に役立ててください。
各プロセスについての結果は以下を含みます。
- 最新のセンサー イベントと分析
- センサーが終了するか、プロセスを拒否するたび
- イベントがサブスクライブしたウォッチリストに一致するたび
プロセスの詳細と操作
キャレットをクリックして、右側のパネルにある追加のプロセス、観測、またはイベント情報を開きます。
- プロセスの名前の横にあるドロップダウン矢印をクリックし、プロセスに関するアクションを実行します。
- [詳細] をクリックして、追加のデバイスの詳細を表示し、デバイスでアクションを実行します。
表のプロセス名の横にバッジのインジケータが現われる場合があります。インジケータの例:
- [ウォッチリストのヒット:] プロセスには関連付けられたウォッチリストのヒットがあります。バッジをクリックして詳細情報を表示してください。
- [アラート:] プロセスには関連付けられたアラートがあります。バッジをクリックして、最も重大度の高いアラートについての追加情報を表示してください。リンクをクリックし、[アラート] 画面に表示される関連付けられたプロセスを持つすべてのアラートを表示します。
- [ポリシーの拒否:] プロセスを有効な状態にしておくが、さらなる操作は拒否するためのポリシーの処理が行われました。これは、プロセスが禁止された DLL のロードを拒否された場合に発生することがあります。場合によっては、プロセスが別のプロセスを開始しようとした場合に発生します。
- [ポリシーの終了:] プロセスを終了するためのポリシーの処理が行われました。
| タイトル | 説明 |
|---|---|
| プロセス | プロセスの名前とパス。ハイパーリンクされた名前をクリックし、プロセス ツリーのネットワーク接続が可視化されるのを確認します。 |
| デバイス | デバイスの登録名。 |
| デバイス時間 | 与えられたプロセスのセグメントにおける最新のイベントのデバイス時間。 |
| PID | OS によって定義される固有のプロセス識別子。 |
| ユーザー名 | プロセスが実施されたユーザーのコンテキスト。 |
| Regmods | プロセスに関連付けられたレジストリの修正の総数。 |
| Filemods | プロセスに関連付けられたファイルの修正の総数。 |
| Netconns | プロセスに関連付けられたネットワーク接続の総数。 |
| Modloads | プロセスに関連付けられたモジュールのロードの総数。 |
| Childprocs | プロセスに関連付けられた子プロセスの総数。 |
