Carbon Black Cloudは、すべてのエンドポイントでフィルタリングされていないデータを分析し、悪意のあるアクティビティに関連付けられている可能性が高い動作のタイプに基づいて目的のイベントを強調表示します。このデータには、攻撃者が利用することが知られている 110 以上のコア動作が含まれています。これらのイベントは、強化されたイベントと呼ばれます。

左側のナビゲーション ペインで、[調査] をクリックし、[強化されたイベント] タブをクリックします。

注: Carbon Black Cloud Endpoint Standard がある場合、または VMware Carbon Black XDR を一緒に実行している場合は、強化されたイベントの代わりに [観測] 画面を表示できます。[観測] 画面はデフォルトのビューです。[観測] 画面が表示されない場合は、 [新しい調査経験] を画面の右上の ON に切り替えます。 [新しい調査経験]OFF に切り替えることで、[強化イベント] 画面にいつでも戻せます。
ヒント: 強化イベント検索 APIを使用して、組織の Endpoint Standard 対応センサーによって報告されたすべてのデータを検索し、検索条件に一致する特定の強化されたイベントを 1 つ以上検索することもできます。

4 つのタブにはそれぞれ焦点を当てた表示方法がありますが、お使いの環境におけるイベントについての情報を表示する代替方法を提供します。

ヒント: コンソール内のタイムスタンプはユーザーの現地のタイムゾーンで表示されます。タイムスタンプにカーソルを当て、UTC タイムゾーンに関連付けられた現地時間を表示します。

イベント

[イベント] タブはデフォルトのビューです。エンドポイント上のアプリケーションおよびプロセスによって実行されるすべての失敗した操作と成功した操作を含む、Carbon Black Cloud に保存されているすべてのイベントを表示します。

キャレットをクリックして、右側のパネルにある追加のプロセスとイベントの種類の情報を開きます。

  • プロセスの名前の横にあるドロップダウン矢印をクリックし、プロセスに関するアクションを実行します。
  • [詳細] をクリックして、追加のデバイスの詳細を表示し、デバイスでアクションを実行します。
  • 右側のパネルで、[プロセス] セクションの展開アイコン展開 をクリックすると、難読化されたスクリプト変換が表示されます。詳細については、「スクリプトベース攻撃の調査」「」を参照してください。
タイトル 説明
時間 イベントが発生した日時。
タイプ イベントのタイプ。タイプには、childproc、filemod、netconn、crossproc、modload、scriptload、regmod などがあります。
イベント アプリケーション/プロセス経路、イベント時に発生した項目、操作成功の可否を含むイベントに関連付けられた詳細。
デバイス デバイスの登録名。

アプリケーション

[アプリケーション] タブには、それぞれの固有のハッシュに関連付けられたイベントの総数が表示されます。

ドロップダウン アイコンをクリックし、アプリケーション/プロセスに関するアクションを実行します。

  • [承認リスト/禁止リストに追加:] 会社の承認リストまたは禁止リストにアプリケーションを追加します。
  • [アップロードのリクエスト:] 分析のためにアプリケーション ファイルのアップロードをリクエストします。完了したら、ファイルは [受信ボックス] ページにアップロードされます。
  • [VirusTotal で検索:] さまざまなソースからのハッシュに関する現在の情報を検索します。
タイトル 説明
ハッシュ SHA-256 のアプリケーション/プロセス。ハイパーリンクされたハッシュをクリックし、[イベント] タブの SHA-256 ハッシュで検索します。
アプリケーション アプリケーション/プロセスの名前およびパス。ハイパーリンクされたハッシュをクリックし、[イベント] タブのアプリケーション/プロセスで検索します。
有効なレピュテーション イベント発生時にセンサーにより適用されるアプリケーション/プロセス ハッシュのレピュテーション。
現在のクラウド レピュテーション: Carbon Black Cloud によってレポートされたアプリケーション/プロセス ハッシュのリアルタイムのレピュテーション。
イベント アプリケーション/プロセス ハッシュに関連付けられたイベントの総数。ハイパーリンクされた数字をクリックし、[イベント] タブの SHA-256 ハッシュで検索します。
デバイス ハッシュが検出されたデバイスの数。

デバイス

[デバイス] タブには、お使いの環境においてそれぞれのデバイスに関連付けられたイベントの総数が表示されます。

ドロップダウン アイコンをクリックし、特定のデバイスでアクションを実行します。

  • バイパスの有効化または無効化
  • デバイスの隔離または復元
タイトル 説明
デバイス デバイスの登録名。ハイパーリンクされたデバイス名をクリックし、追加のデバイスの詳細を確認してから、バイパスの有効化/無効化およびデバイスの隔離/復元を含むアクションを実行します。
ユーザー プロセスが実施されたユーザーのコンテキスト。
ポリシー デバイスが登録されているポリシー グループ。ハイパーリンクされたポリシー名をクリックし、[ポリシー] 画面でポリシーを確認します。
グループ 適切な場合、デバイスが割り当てられているセンサー グループ。センサー グループは、[インベントリ] > [エンドポイント] 画面で確認および管理することができます。
OS デバイスのオペレーティング システム。
イベント デバイスに関連付けられたイベントの合計数。ハイパーリンクされた数字をクリックし、[イベント] タブのデバイス ID で検索します。

ネットワーク

[ネットワーク] タブは、お使いの環境におけるそれぞれのデバイスおよびアプリケーション/プロセスに関連付けられたすべてのネットワーク関連のイベントを表示します。

キャレットをクリックして、右側のパネルにある追加のプロセスとネットワーク接続の情報を開きます。

  • プロセスの名前の横にあるドロップダウン矢印をクリックし、プロセスに関するアクションを実行します。
  • [詳細] をクリックして、追加のデバイスの詳細を表示し、デバイスでアクションを実行します。
タイトル 説明
デバイス時間 ネットワーク接続を行った時間。
デバイス デバイスの登録名。ハイパーリンクされたデバイス名をクリックし、追加のデバイスの詳細を確認してから、バイパスの有効化/無効化およびデバイスの隔離/復元を含むアクションを実行します。
プロセス アプリケーション/プロセスの名前およびパス。ハイパーリンクされた名前をクリックし、プロセス ツリーのネットワーク接続が可視化されるのを確認します。
ソース 接続元の IP アドレス。
接続先 接続が行われた接続先の IP アドレス。
位置 リモート ネットワーク接続の地理的位置。
プロトコル ネットワーク接続に関連付けられたネットワーク プロトコル
ポート プロセスによって開始または受信したネットワーク接続の接続先ポート。