Netconn データ

XDR はネットワーク接続 (netconn) を分析し、これらの分析を脅威ハンティングと調査に対して表示します。検索できる netconn フィールドのリストについては、XDR 検索フィールドを参照してください。

観測データ タイプは、フィルタリングおよび並べ替えに使用できます。観測タイプの詳細については、調査 - 観測を参照してください。

• CB 分析
• コンテクスト アクティビティ
• TAU Intelligence
• 改ざん
• ブロックされたハッシュ
• 侵入検知システム
• ネットワーク トラフィックの分析
• ホストベースのファイアウォール
• 攻撃のインジケータ

侵入検知システム (IDS)

MicroIDS ネットワーク分類エンジンは netconn イベントで実行され、IP パケットを使用して接続を分類します。このエンジンは、Carbon Black Cloud 3.9 以降の Windows センサーに組み込まれています。

IDS には以下の利点があります。

• インバウンドおよびアウトバウンドのネットワーク トラフィックを監視する
• システムとネットワーク間を移動するデータを監視する
• ネットワーク パケットをキャプチャおよび分析して攻撃を検出する
• 異常なネットワーク トラフィックを特定する

[侵入検知システム] は、[アラート]、[プロセス]、[観測] 画面のフィルタ オプションです。

ネットワーク トラフィック分析 (NTA)

ネットワーク トラフィック分析 (NTA) は、ネットワークの可用性とアクティビティを監視して、アノマリを特定します。NTA のメリットは次のとおりです。

• 豊富なコンテキストを提供することで、ネットワークの可視性を向上
• アノマリ アクションの検出
• セキュリティ トリアージ調査の支援

ネットワーク パケットから抽出されたデータは、使用状況を追跡し、疑わしい動作を監視するのに役立ちます。

例：

Carbon Black は、次の 3 種類の NTA 検出器を示しています。

[ネットワーク トラフィック分析] は、[アラート]、[プロセス]、[観測] 画面のフィルタ オプションです。

MITRE ATT&CK 戦略と技術

MITRE ATT&CK^® は、Carbon Black Cloud コンソール全体および XDR に表示されます。XDR 固有ではありません。

MITRE ATT&CK は、敵対的な戦略と技術のナレッジベースとして、セキュリティ業界によって広く採用されています。MITRE ATT&CK の詳細については、MITRE ATT&CK（外部リンク）を参照してください。

戦略は、技術の背後にある目的を表します。たとえば、TA0001 の MITRE ATT&CK 戦略 ID は、攻撃者がネットワークに侵入しようとしていることを示します。

技術は、攻撃者がどのように攻撃しているかを表します。たとえば、T1548.003 の MITRE ATT&CK 技術 ID は、攻撃者が権限を昇格するために sudo キャッシュを実行していることを示します。

[観測]、[アラート]、[プロセス]、[プロセス解析] 画面の Tactic フィールドと Technique フィールドをフィルタリング、検索、並べ替えできます。例：