Live Response を使用して、リモート調査を実行し、進行中の攻撃を阻止し、コマンド ライン インターフェースを使用して脅威を修復します。

ヒント: Live Response API を使用することもできます。非同期です。たとえば、リモート エンドポイントでコマンドを実行するために API を呼び出すと、すぐにコマンド ID が返されます。その後、結果ステータスが返されるまで、コマンド ID を使用して API をポーリングできます。

Live Response の有効化または無効化

Live Response を使用するには、Carbon Black Cloud で Live Response の権限を持つロールをユーザーに割り当てる必要があります。Live Response は、バージョン 3.0 以降のセンサーを実行し、 Live Response が有効にされたポリシーが割り当てられたエンドポイントで使用できます。

[ポリシーで Live Response を有効化または無効化するには]

  1. [適用] をクリックして、次に [ポリシー] をクリックします。
  2. ポリシー グループを選択します。
  3. [センサー] タブで、[Live Response の有効化] チェックボックスを選択または選択解除し、[保存] をクリックします。

[エンドポイントで Live Response を無効にするには]

  1. [エンドポイント] をクリックし、センサーを選択します。
  2. [アクション実行] をクリックして、次に [Live Response の無効化] をクリックし、アクションを確認します。
注:

DISABLE_LIVE_RESPONSE オプションを使用して、コマンド ライン センサーのインストール中に Live Response を無効にすることもできます。

Live Response セッションの開始

Live Response をアクティブにすると、セッションを作成して接続します。最大 100 のセッションを同時に実行でき、複数のユーザーを同じセッションに接続できます。各セッションは 250 コマンドに制限されています。

Live Response は、バイパス モードまたは隔離のデバイスで使用できます。

[Live Response セッションを開始するには]

  1. [エンドポイント] をクリックし、センサーを選択します。[アラート]、[アラートのトリアージ]、[調査] 画面で Live Response セッションを開始することもできます。
  2. 行の最後にある [アクション] 列で、[Live Response] [Live Response] アイコン >_ アイコン[>_] をクリックして Live Response セッションを開始します。
  3. コマンド ウィンドウ エリアをクリックし、help コマンドを入力して使用可能なコマンドのリストを表示、または Live Response のコマンド リファレンスを使用します。help commandname を入力し、特定のコマンドに関するヘルプを取得します。
注:

複数のユーザーがセッションを介してほぼ同時にコマンドを送信する場合、各コマンドは次のコマンドを開始する前に実行を終了する必要があります。あるユーザーが行っていることを別のユーザーが元に戻したり、変更したりできます。

[Live Response コマンド ウィンドウ ステータス インジケータ]

コマンド ウィンドウは、特定のステータスとメッセージを示すために色分けされています。

  • [緑:] センサーは接続され、セッションが確立されています。エンドポイントのホスト名が表示されます。

  • [黄色:] CB バックエンドがセンサーのチェックインを待機しているか、セッションが接続されていないためエンドポイントが接続されていません。

  • [赤:] エンドポイントがオフラインであるか、センサーが無効になっているか、センサー バージョンが Live Response をサポートしていないため、センサーとのセッションを確立できません。

Live Response セッションの終了

Live Response セッションから離れる、または終了できます。

  • [マイ セッションの終了] をクリックしてセッションから離れます。セッションに接続された他のユーザーは、そのセッションが終了するまで残ります。

  • コマンド detach を入力してセッションから離れます。セッションに接続された他のユーザーは、そのセッションが終了するまで残ります。

  • コマンド detach -q を入力してセッションを終了します。セッションに接続されている他のユーザーも切り離されます。

注: デフォルトでは、非アクティブな状態が 15 分間続くとセッションがタイムアウトになります。次のイベントにより、セッションがタイムアウトになります。
  • センサーがバックエンドに 15 分間チェックインしない場合、センサーがタイムアウトになります。
  • センサー ユーザー インターフェイスで 15 分間非アクティブ状態の場合、セッションがタイムアウトになります。

Live Response のアクティビティ ログ

Live Response アクティビティは、アクセスしたセンサーと Carbon Black Cloud バックエンドに記録されます。アクセスされたセンサーのセッション中に実行されたコマンドは、エンドポイントのセンサー インストール フォルダにある cblr.log ファイルに記録されます。