このセクションでは、Carbon Black Managed Detection and Response 製品と SLO に関するよくある質問に対する回答を提供します。
- Carbon Black Managed Detection と Carbon Black Managed Detection and Response のメリットは?
-
Carbon Black Managed Detection と Carbon Black Managed Detection and Response は、自動化された機械学習とアルゴリズムを使用してアラートの検証と優先順位付けを行い、新しい脅威を明らかにすることで、攻撃に関する重要な情報を提供します。セキュリティ エキスパートは、 Carbon Black Cloud でアラートを監視します。次の製品がサポートされています。
- Carbon Black Cloud Endpoint Standard
- Carbon Black Cloud Workload Advanced
Carbon Black Managed Detection と Carbon Black Managed Detection and Response は以下を提供します。- Carbon Black Managed Detection and Response チームによる迅速な対応と脅威の封じ込め、およびチームが実行したアクションの詳細な説明(Carbon Black Managed Detection and Response のみ)。
- インシデント中の双方向通信(Carbon Black Managed Detection and Response のみ)。
- 脅威の詳細、インジケータ、実行可能な推奨事項など、特定された脅威のアラート通知を E メールで送信。
- Carbon Black Managed Detection and Response によって実行された前日のアラート アクティビティの日次サマリ。
- 上位のアラートと脅威、新しく疑わしいアラートとアプリケーション、センサーの展開のリストを含む月次レポート。
- 脅威に対処し、組織のセキュリティ体制を強化するための特定のポリシー変更に関する推奨事項。
- Carbon Black Managed Detection and Response から期待できるメリットは何ですか。
-
Carbon Black Managed Detection and Response は、インシデント中に Carbon Black Managed Detection and Response アナリストによる Live Response と脅威の封じ込めのメリットを提供します。これには以下が含まれます。
- [悪意のあるハッシュの禁止]
アナリストは悪意のあるハッシュを禁止して、既知の不良バイナリがアセットで実行されないようにすることができます。
- [ポリシーの変更]
アナリストは、影響を受けるデバイスをクローン作成したポリシー グループに移動し、継続的な脅威を阻止するためのルールを実装できます。
- [影響を受けたデバイスの隔離]
アナリストは、アセットで悪意のあるアクティビティを確認した後、影響を受けたアセットを隔離できます。アセットを隔離すると、悪意のあるアクションやラテラル ムーブメントがさらに実行されるのを防ぎます。
また、以下の作業も可能です。
- ポリシーごとに Carbon Black Managed Detection and Response によって許可された応答アクションを決定します。デフォルトで、ポリシーの変更と隔離は無効になっています。
- E メールを介して、作業アナリストとの双方向通信にアクセスします。
- 監査ログ内でアナリストが実行したアクションの詳細を含む E メールを表示します。
- [悪意のあるハッシュの禁止]
- Carbon Black Managed Detection と Carbon Black Managed Detection and Response の主な違いは何ですか?
-
次の表に、Carbon Black Managed Detection と Carbon Black Managed Detection and Response の主な違いの概要を示します。
機能 説明 Carbon Black Managed Detection Carbon Black Managed Detection and Response 監視とアラートのトリアージ サービス レベル対象内でのアラートの 24 時間 365 日の監視。 はい はい インシデントの調査と対応に関する推奨事項 詳細な調査のサマリと対応。推奨事項 はい はい 月次レポート セキュリティ アラートと状態の概要を示す月次レポート はい はい アウトブレイクに関するアドバイザリ セキュリティ侵害インジケーター (IOC) とポリシーの推奨事項による新たな脅威に関するアドバイザリ はい はい 脅威の封じ込め アナリストは、インシデントのエスカレーションを停止するためにユーザーに代わってアクションを実行します いいえ はい 双方向通信 セキュリティ インシデント中のガイダンスについては、E メールでアナリスト チームに直接お問い合わせください いいえ はい
- Carbon Black Cloud Enterprise EDR は Carbon Black Managed Detection and Response 製品どのようなメリットをもたらしますか?
-
Carbon Black Managed Detection and Response には Carbon Black Cloud Endpoint Standard が必要です。Carbon Black Managed Detection and Response チームは、追加の Carbon Black Cloud 製品(特に Carbon Black Cloud Enterprise EDR)からメリットを得られます。Carbon Black Cloud Enterprise EDR は、調査をより深く掘り下げるのに役立つより多くのデータ ポイントをアナリストに提供し、レジストリの編集、ファイルレス スクリプト、mod のロード、パーシステンス動作などのインジケータに関するより多くの情報を Carbon Black Managed Detection and Response に提供します。Carbon Black Cloud Enterprise EDR は、攻撃をより詳細に理解し、調査中に接続を行うための可視性を提供します。
- Carbon Black Managed Detection and Response アナリストに表示されるアラートの重要度レベルは何ですか?
-
Carbon Black Managed Detection and Response は、レベル 5 以上のアラートを確認します。
レベル 8 以上のアラートには、ランサムウェア、ラテラル ムーブメント、認証情報のスクレイピング、リバース コマンド シェル、プロセスの空洞化が含まれます。
レベル 5 ~ 7 のアラートには、一般的なウイルスのような動作、ユーザー入力の監視、潜在的なメモリ スクレイピング、パスワードの盗難などがあります。
アラートの重要度レベルは、アラートが真陽性であることを示すものではありません。正当なアクティビティが、悪意のあるアクティビティと同じ動作をする場合があります。
Carbon Black Managed Detection and Response チームは、攻撃の任意の段階で脅威が迅速にエスカレートする可能性があるため、確認されたすべてのアラートをすぐに処理します。ただし、チームは SLO 内で重要度レベルの高いアラートを優先します。
アラートの重要度およびターゲット値の詳細については、アラートおよびレポートの重要度を参照してください。
- Carbon Black Managed Detection and Response SLO と操作時間について。
-
Carbon Black Managed Detection and Response SLO は、レベル 8 以上のアラートを 2 時間以内に確認するためのものです。SLO はレベル 5 ~ 7 のアラートには適用されませんが、ベスト エフォートで確認されます。SLO は、Carbon Black Managed Detection and Response がアラートを受信すると開始されます。
センサーがオフラインの場合など、遅延が発生した場合、Carbon Black Managed Detection and Response が対応するまでに時間がかかる場合があります。Carbon Black Managed Detection and Response は、センサーがオンラインに戻るとアラートを受け取り、イベントを Carbon Black Cloud に送信します。
Carbon Black Managed Detection and Response アナリストは、24 時間 365 日セキュリティ イベントをレビューします。チームは、キューに入ってきた SLO と最も忠実度の高いアラートを優先順位の高い順に確認します。
