このセクションでは、Carbon Black Managed Detection and Response 通信プロセスに関してよくある質問に対する回答を提供します。

どのような通信が可能ですか?

Carbon Black Managed Detection and Response チームは、重要度レベル 5 以上のアラートの Carbon Black Cloud Endpoint Standard 製品から Carbon Black 分析アラートを分析します。重要度レベル 8 以上のアラートは SLO が 2 時間です。重要度レベル 5 ~ 7 のアラートはベスト エフォート型です。

通常、潜在的な脅威が原因で、対処できるアラートの通知を E メールで受け取ります。

アクション可能なアラートの場合、アナリストは組織内で特定された連絡先に E メールを送信します。重大なインシデントが発生した場合は、CSM およびセールス チームにも通知され、インシデントに関するタイムリーな通信が確保されます。

Carbon Black Managed Detection and Response が E メールで連絡できない場合、Carbon Black Managed Detection and Response チームは CSM およびセールス チームに連絡します。

Carbon Black Managed Detection and Response の場合、E メールには組織と Carbon Black Managed Detection and Response チーム間の双方向通信機能が含まれています。最初のアラート E メールに応答すると、双方向通信を開始できます。
注: 日次サマリ E メールで送信された応答は、 Carbon Black Managed Detection and Response チームによって受信されません。

Carbon Black Managed Detection and Response E メールには、レジストリの編集、ハッシュ、IP アドレス、根本原因(既知の場合)などの IOC が含まれます。E メールには、最初の修正アクションと適用可能なポリシーの推奨事項も含まれます。以下が含まれます。

  • 真陽性アラート。
  • より良いポリシーの調整。
  • E メールによるアラート応答通知。
  • Carbon Black Managed Detection and Response ユーザーの場合:
    • アナリストが実行したアクション。
    • チームは、ネットワーク環境全体に関するアドバイスを提供できる可能性があります。ただし、アナリストは追加のネットワーク ツールにアクセスできません。
   
何がアクション可能なアラートと見なされますか?
アクション可能なアラートとは、対処できるアラートです。通常、アクション可能なアラートは、環境に対する脅威である可能性があります。 Carbon Black Managed Detection and Response は、悪意のある、疑わしい、または不要なファイルをデバイスから削除するための推奨事項と手順を提供します。
Carbon Black Managed Detection and Response チームに直接問い合わせできますか?

Carbon Black Managed Detection and Response ユーザーと Carbon Black Managed Detection and Response チーム間で直接連絡できるのは、インシデント E メールによって開始された双方向通信のみです。日次サマリで送信された応答は、チームによって受信されません。ユーザーが Carbon Black Managed Detection and Response 製品を持っていない場合、直接通信はできません。

アクティブなインシデント調査の外部でチームに連絡するには、CSM に連絡してください。その後、CSM は Carbon Black Managed Detection and Response チームに連絡して、質問に対する回答を求めることができます。

注: Carbon Black Managed Detection and Response は E メールのみを提供します。テキスト メッセージ アラートまたは電話を受け取る場合は、携帯電話会社の E メールからテキストへの転送機能またはサードパーティーのソリューションを使用して、携帯電話会社への E メール転送を設定する必要があります。