[アクション実行] ボタンから使用できる機能に加えて、CB 分析アラートに対して実行できるいくつかのアクションがあります。
アラートによりトリガされたデバイスの隔離
[デバイスを隔離] をクリックし、[隔離をリクエスト] をクリックします。
デバイスを隔離することで、疑わしいアクティビティやマルウェアがネットワークの残りの部分に影響するのを阻止します。デバイスは、隔離状態から削除されるまで隔離されたままになります。デバイスを隔離するには数分かかる場合があります。
隔離からデバイスを削除するには、[デバイスを隔離解除] をクリックします。
メモの追加
メモを追加することで、コンソール ユーザー間のコミュニケーション手段となるだけでなく、アラートの検索やフィルタリングが簡単にできます。「メモの追加」を参照してください。
開くまたは閉じる
アラートのワークフローを編集して、アラートを開いたり閉じたりします。「アラート ワークフローの編集」を参照してください。
Live Response の使用
[ライブの開始] をクリックして Live Response セッションを開始します。Live Response を使用して、リモート調査を実行し、進行中の攻撃を阻止し、脅威を修正します。Live Response の機能を使用するには、Carbon Black Cloud で Live Response の権限を持つロールをユーザーに割り当てる必要があります。「Live Response の使用」と「ユーザー ロール」を参照してください。
Live Response は、バージョン 3.0 以降のセンサーを実行し、Live Response が有効にされたポリシーが割り当てられたエンドポイントで使用できます。Live Response は、バイパス モードまたは隔離のデバイスで使用できます。