Carbon Black マネージド脅威ハンティング (MTH) のユーザーは、Carbon Black Cloud コンソールの [アラート] ページで、MTH でカバーされるすべてのアラートを表示できます。

MTH アラートは、[mdr_alert:true] という用語を使用して検索できます。MTH アラートは [ウォッチリスト] アラート タイプであり、横に青色の [MDR] または [MDR 脅威ハンティング] バッジのいずれかが付きます。

アラートに対するマネージド脅威ハンティング バッジおよび Managed Detection and Response バッジ

アラートが脅威の可能性が高い場合、Carbon Black Managed Detection and Response (MDR) アナリストとの双方向通信にアクセスできます。詳細については、MTH 双方向通信 を参照してください。

アラートの決定

[MDR] および [MDR 脅威ハンティング] アラートは以下として判断されます。
  • [脅威の可能性が高い] アラート。
  • [脅威の可能性が低い] アラート。
  • [情報が不十分] アラート
注: [脅威の可能性が高い] と判断した場合のみ通知を受け取ります。 [脅威の可能性が低い] という判断が表示される場合は、通常、 [脅威の可能性が高い] または [情報が不十分] という判断で始まり、追加の調査または MDR アナリストとの双方向通信の後に、 [脅威の可能性が低い] に変更されるためです。

アラート ワークフローの状態

[MDR] および [MDR 脅威ハンティング] アラートには、次のいずれかのワークフロー状態を含めることができます。

  • [オープン]:アラートはアナリスト調査のためにキューに入れられます。
    注: MTH アラートは、アナリストが脅威の可能性が高いと判断した後にのみ表示されます。ユーザーに表示される MTH アラートで、 [オープン] ワークフロー状態のものはほとんどありません。
  • [進行中]:MDR アナリストは引き続きアラートを調査しており、コメントを追加し続ける可能性があります。
  • [トリアージ完了]:MDR アナリストがアラートの調査を完了しました。
  • [保留中の MDR 応答]:ユーザーがアラートにコメントを追加しました。MDR アナリストがアラートを確認します。
  • [返信を受信]:MDR アナリストは、ユーザーが追加したコメントに返信しました。