このセクションでは、Carbon Black Cloud コンソールの [プロセス解析] 画面について説明します。
[プロセス解析] 画面の右上にあるオレンジ色の [アクション実行] ボタンをクリックすると、ハッシュを禁止リストにすばやく追加したり、デバイスのバイパス モードを有効または無効にしたり、デバイスを隔離または隔離解除したり、VirusTotal で検出を表示したりできます。
[プロセス解析] 画面の上部セクションには、次の情報が含まれています。
- 解析中のプライマリ プロセス
- 現在選択されているプロセス (ノード)
- 日付と時刻
- プロセス パス
- デバイスの詳細 (以下を含む):
- 前回ログインしたユーザー
- OS バージョン
- デバイス名
- IP アドレス
- 位置
- 適用されたポリシー
[詳細] ボタンをクリックすると、このデバイスの詳細が表示されます。
このビューにはその他の詳細が含まれています。
- センサーのバージョン
- インストールした者
- ターゲット バリュー
- デバイスの登録日
- デバイスの最終連絡日
- 最後の場所
このウィンドウの [アクション実行] ボタンをクリックすると、デバイスのバイパスまたは隔離を有効にできます。
プロセスの可視化
プロセスの可視化、またはプロセス ツリーは、[プロセス解析] ページのメイン セクションに表示されます。
攻撃ストリームの各プロセスはプロセス ツリーにノードとして表示され、攻撃の発生元が左側に、その後の各イベントは、攻撃の進行に伴い左から右に表示されます。親または子プロセスが過剰にあるプロセス ツリーでは、すべてのノードが表示されない場合があります。
[ハッシュによるグループ分け] トグルをクリックすると、ハッシュでプロセスをグループ分けできます。このアクションにより、プロセス ツリーは、子プロセスまたはウォッチリストが存在するかどうかにかかわらず、同一のハッシュを持つすべてのプロセスをグループ化します。ターゲット ノードはグループ化されません。ハッシュでグループ化すると、ページに表示されるノードの数が減り、読みやすさが向上します。
選択されているノード
ノードをクリックして追加情報を表示し、[選択されているノード] の折りたたみパネルでアクションを実行します。
バイナリの詳細
[選択されているノード] パネルで [バイナリの詳細] ボタンを選択して、バイナリに関する追加の詳細情報を表示します。
レピュテーション
レピュテーションは、信頼度または不信度の特定のレベルです。
- [有効なレピュテーション] は、Carbon Black 分析、クラウド インテリジェンス、およびその他のデータに基づいて、イベントや観測が発生した時点でセンサーによって適用されるレピュテーションです。
- [クラウド レピュテーション (初期)] は、バックエンドによってイベントや観測が処理されたときに Carbon Black Cloud インテリジェンス ソースによってレポートされたハッシュ レピュテーションです。
- [クラウド レピュテーション (現在)] は、Carbon Black Cloud インテリジェンス ソースによってレポートされたハッシュ レピュテーションをリアルタイムでチェックしたものです。
プロセス アクセス コントロール
- [昇格]: 「True」の場合、プロセスは昇格した (管理者) コンテキストで実行されます。プロセスを昇格させると、UAC (ユーザー アクセス コントロール) を設定するポリシーは適用されません。
- [整合性]: 高 (管理者)、中 (標準ユーザー)、または低 (制限付き)。より高い整合性レベルを持つプロセスとの接触を防止することによって信頼度が強化されます。
- [権限]: セキュリティ ID (権限) をカプセル化するアクセス トークンが各プロセスに割り当てられます。権限は、プロセスを実行しようとしたときにセキュリティ境界を適用するのに役立ちます。
ウォッチリストのヒット
プロセスにオレンジ色の [ が表示されます。] はプロセスがウォッチリストのヒットに関連していることを示します。この場合、[選択されているノード] ペインにも次のように表示されます。
- 最新のヒットの重要度スコア
- ヒットが見つかったレポートの名前
- ヒットが発生したクエリ
- ウォッチリストのヒットとしてキャプチャされたイベントの発生時刻
クエリのリンクを選択して、検索バーでクエリが事前に入力された [調査] 画面にピボットします。
