ウォッチリストでは、潜在的な脅威と疑わしいアクティビティについて、環境を継続的に監視するカスタム検出が利用できます。

ウォッチリストは IOC から成るレポートで構成されています。

  • [ウォッチリスト]: レポートの収集。目的を定義する。
  • [レポート]: IOC の収集。IOC を整理する。
  • [IOC]: 侵入の痕跡 (Indicator of Compromise)。ハッシュ、IP アドレス、ドメイン、クエリなど。
ヒント: また、 ウォッチリスト API を使用して、作成、更新、削除などのライフサイクル全体にわたって組織のウォッチリストを管理したり、関連するレポートや IOC を管理することもできます。

履歴データ

ウォッチリストを作成する過程で、ウォッチリストを履歴データに適用できます。コンソールで使用可能な過去のすべてのデータを評価することで、アラートに関する理解をさらに深めることができます。履歴イベント データを保存する期間は 30 日です。

履歴データ検索のオプションを見つけるには、 Carbon Black Cloud コンソールで [ウォッチリスト] 画面、または [調査] 画面に移動します。
  • [適用] > [ウォッチリスト] 画面で、次の手順を実行します。
    • カスタム ウォッチリストを選択し、[アクション実行] ドロップダウン メニューをクリックして、[履歴データ] オプションを見つけます。
    • [ウォッチリストの追加] を選択し、[ビルド] タブをクリックし、レポートを確認して、[追加] をクリックします。[新しいウォッチリストの作成] を選択し、[既存のすべてのデータの評価 (1 回実行)] オプションを見つけます。
  • [調査] 画面で、検索バーに検索クエリを入力し、[脅威レポートに検索を追加] をクリックします。[新しいウォッチリストの作成] を選択し、[既存のすべてのデータの評価 (1 回実行)] オプションを見つけます。
[履歴データ] オプションまたは [既存のすべてのデータの評価 (1 回実行)] オプションのいずれかを選択できます。どちらのオプションも、同じリクエスト ペイロード フィールドで同じ API エンドポイントに対してネットワーク要求を生成します。
  • ネットワーク要求の URL は https://CBC_console_address/api/investigate/v1/orgs/org_name/processes/watchlist_evaluation です。ここで CBC_console_addressorg_name の値は両方のオプションで同じです。
  • リクエスト ペイロード フィールドは、watchlist_idreport_id です。
  • リクエスト ペイロードでは、履歴検索の期間はユーザーの履歴データ セット全体です。履歴イベント データを保存する期間は 30 日です。

ウォッチリスト検索時間枠

ウォッチリストは 1 時間以内の時間枠で検索します。ただし、[調査] 画面での検索は、その 1 時間の時間枠に及びます。その結果、[調査] 画面の検索では、ウォッチリスト、レポート、または IOC クエリ フィルタに一致しなくなったウォッチリストの一時間の時間枠の後に追加のアクティビティを表示できます。

IOC クエリがプロセスの期間中に変更されないプロセス メタデータを検索すると、ウォッチリストのヒットと [調査] 画面のヒットに同じ情報が表示されます。変更されないプロセス メタデータの例には、次のようなものがあります。 

process_name, process_cmdline

IOC クエリにイベント フィールドのフィルタが含まれている場合、ウォッチリストのヒットと [調査] 画面のヒットが異なる場合があります。ウォッチリストのヒットと [調査] 画面のヒットの違いは、プロセスの期間のさまざまな時点で発生し、一定ではないイベント フィールド検索に適用されます。一定ではないイベント フィールドの例には、次のようなものがあります。

childproc_, netconn_, filemod_, regmod_, modload_, scriptload_, fileless_scriptload_