このセクションでは、Carbon Black マネージド脅威ハンティング (MTH) に関してよくある質問に対する回答を提供します。

MTH の一般的な FAQ

MTH が有効かどうかを知るには、どうすればよいですか?
  1. Carbon Black Cloud コンソールの右上隅で、ユーザー名をクリックします。[マネージド脅威ハンティング] のステータスが緑色の [有効 ] になっていることを確認します。
  2. [Managed Detection and Response Intelligence] ウォッチリストが有効になっていることを確認します。
Carbon Black Managed Detection and ResponseCarbon Black マネージド脅威ハンティングの違いは何ですか?
  • Carbon Black Managed Detection and Response には、Carbon Black Cloud Endpoint Standard のアラートのトリアージが含まれます。
  • Carbon Black マネージド脅威ハンティングは、Carbon Black Cloud Enterprise EDR に対する新たな脅威や蔓延している脅威のプロアクティブなハンティングです。
MTH はどのように設定するのですか? どのようなサポートが必要ですか?
MTH ユーザーは、 MTH について ガイドを使用して MTH を設定できます。

MTH アラートに関する FAQ

MTH でカバーされるアラートは何ですか?
MTH ユーザーは、 Carbon Black Cloud コンソールの [アラート] ページで、 Carbon Black マネージド脅威ハンティングでカバーされるすべてのアラートを表示できます。
  • Carbon Black Managed Detection and Response Intelligence によって生成されたヒットは、Carbon Black Managed Detection and Response (MDR) アナリストによってアラートにエスカレーションされます(脅威の可能性が高い場合)。現在、他のウォッチリストやアラート タイプは、Carbon Black マネージド脅威ハンティングでカバーされていません。
  • これらのアラートには、青色の [MDR 脅威ハンティング] バッジがあります。
  • MTH アラートは、[mdr_alert:true] という用語を使用して検索できます。
アラートに対するマネージド脅威ハンティング バッジおよび Managed Detection and Response バッジ
MDR のユーザーとして、対象となる CB 分析アラートに MDR バッジが表示されないのはなぜですか?
MDR アラートは今でも E メールを使用して送信されます。
アラートの決定と MDR アラートの決定の違いは何ですか?
  • MDR の決定は、ユーザーのアラートの決定とは別です。
  • Carbon Black Cloud ユーザーのアラートの決定の詳細については、「アラートに対する判定の追加」を参照してください。
  • MTH アラートの詳細については、「MTH アラート」を参照してください。

MTH 通信と通知に関する FAQ

ユーザーが MTH の通知を受け取るのはいつですか?
MTH のユーザーには、脅威の可能性が高い場合、および脅威ハンティングが完了したときに通知されます。
注: E メール通知が設定されていることを確認します。詳細については、「 MTH の通知の設定」を参照してください。
ユーザーへの連絡方法
ユーザーへの連絡には、アラート メモと E メール通知を使用します。
注: E メール通知が設定されていることを確認します。詳細については、「 MTH の通知の設定」を参照してください。
アナリスト向けの複数のコメントを連続して追加できますか?
アナリスト向けの返信は一度に 1 つのみ追加できます。他の情報がある場合は、アナリストが元のコメントに返信するまで内部メモに保存できます。
アナリストからのコメントを見ることができるのに、返信できないのはなぜですか?
会話は、アナリストの最新のコメントから 72 時間後に期限切れになります。
MDR アナリストに連絡できますか?
アナリストに連絡できるのは、アナリストがアラートに対するコメントを残した後のみです。
アナリストからのコメントに返信するには、次の手順を実行します。
  1. [アラート] ページで、右側のペインをクリックして [アラート ID 履歴] を開きます。
  2. コメントを見つけて、[返信] をクリックします。
通知に配布グループを追加できますか?
配布グループを追加することはできません。
MTH のユーザーは、 お客様の声 サイトを使用して機能リクエストを送信できます。
SIEM に MDR 通知を送信できますか?
  • MDR ワークフローと決定情報は、アラート v7 API およびデータ フォワーダ アラート v2 スキーマに含まれています。MDR アナリストが更新を行うと、データ フォワーダはアラートを再転送します。
  • MDR アナリストのコメントは、[アラート メモ] で確認できます。[mdr_alert_notes_present] フィールドが true の場合は、アラート履歴を表示できます。詳細については、「アラート履歴の取得」を参照してください。
MDR アナリストのアクションは監査されていますか?
  • MDR アナリスト ワークフロー アクションには、以下が含まれます。
    • アラートの調査。
    • MDR アラートの決定を設定。
    • MDR コメントの追加。
    ワークフロー アクションは、各アラートの [アラート] ページの右側のペインにある [アラート履歴] に記録されます。
  • ハッシュの禁止、ポリシーの変更、アセットの隔離などの MDR 抑制アクションは、[監査ログ] に含まれます。

脅威ハンティングの FAQ

脅威ハンティングとは何ですか?
脅威ハンティングとは、MDR アナリストが環境内の新たな脅威をプロアクティブに検索することです。ハンティングが完了すると、MDR アナリストは検出された脅威の概要を E メールで通知します。ハンティングよって検出されたアラートには、 [MDR 脅威ハンティング] バッジと右側に追加の詳細を含むペインがあります。
アナリストが脅威ハンティングを実行する頻度は?
アナリストは、新しいインテリジェンスや進化するインテリジェンスを発見したときに脅威ハンティングを実行します。このタイミングは、週に 1 回から 1 日に数回までさまざまです。
脅威ハンティングを要求できますか?
脅威ハンティングの要求はサポートされていません。