Live Response の有効化または無効化

Live Response を使用するには、Carbon Black Cloud で Live Response の権限を持つロールをユーザーに割り当てる必要があります。Live Response は、バージョン 3.0 以降のセンサーを実行し、 Live Response が有効にされたポリシーが割り当てられたエンドポイントで使用できます。

[ポリシーで Live Response を有効化または無効化するには]

1. [適用] をクリックして、次に [ポリシー] をクリックします。
2. ポリシー グループを選択します。
3. [センサー] タブで、[Live Response の有効化] チェックボックスを選択または選択解除し、[保存] をクリックします。

[エンドポイントで Live Response を無効にするには]

1. [エンドポイント] をクリックし、センサーを選択します。
2. [アクション実行] をクリックして、次に [Live Response の無効化] をクリックし、アクションを確認します。

Live Response セッションの開始

Live Response をアクティブにすると、セッションを作成して接続します。最大 100 のセッションを同時に実行でき、複数のユーザーを同じセッションに接続できます。各セッションは 250 コマンドに制限されています。

Live Response は、バイパス モードまたは隔離のデバイスで使用できます。

[Live Response セッションを開始するには]

1. [エンドポイント] をクリックし、センサーを選択します。[アラート]、[アラートのトリアージ]、[調査] 画面で Live Response セッションを開始することもできます。
2. 行の最後にある [アクション] 列で、[Live Response] アイコン[>_] をクリックして Live Response セッションを開始します。
3. コマンド ウィンドウ エリアをクリックし、help コマンドを入力して使用可能なコマンドのリストを表示、または Live Response のコマンド リファレンスを使用します。help commandname を入力し、特定のコマンドに関するヘルプを取得します。

[Live Response コマンド ウィンドウ ステータス インジケータ]

コマンド ウィンドウは、特定のステータスとメッセージを示すために色分けされています。

• [緑:] センサーは接続され、セッションが確立されています。エンドポイントのホスト名が表示されます。

• [黄色:] CB バックエンドがセンサーのチェックインを待機しているか、セッションが接続されていないためエンドポイントが接続されていません。

• [赤:] エンドポイントがオフラインであるか、センサーが無効になっているか、センサー バージョンが Live Response をサポートしていないため、センサーとのセッションを確立できません。

Live Response セッションの終了

Live Response セッションから離れる、または終了できます。

• [マイ セッションの終了] をクリックしてセッションから離れます。セッションに接続された他のユーザーは、そのセッションが終了するまで残ります。

• コマンド detach を入力してセッションから離れます。セッションに接続された他のユーザーは、そのセッションが終了するまで残ります。

• コマンド detach -q を入力してセッションを終了します。セッションに接続されている他のユーザーも切り離されます。

Live Response のアクティビティ ログ

Live Response アクティビティは、アクセスしたセンサーと Carbon Black Cloud バックエンドに記録されます。アクセスされたセンサーのセッション中に実行されたコマンドは、エンドポイントのセンサー インストール フォルダにある cblr.log ファイルに記録されます。