このトピックでは、観測タイプについて説明します。
観測の検索の説明に従って、Type でクエリをフィルタリングできます。次の表で、これらのタイプについて説明します。
| タイプ | 説明 |
|---|---|
| ブロックされたハッシュ | この観測タイプは、Carbon Black Cloud Enterprise EDR 環境にのみ適用されます。これは、プロセスがハッシュ禁止リストに表示されるハッシュをロードするときに表面化する観測とアラートで構成されます。 |
| CB 分析 | エンドポイントで実行されているプロセスの動作パターンを監視する Carbon Black Cloud 分析を使用して作成された観測とアラート。CB 分析アラートは攻撃を検出しますが、攻撃を防止することはありません。 |
| コンテクスト アクティビティ | コンテキスト アクティビティは、センサーによってキャプチャされたイベントですが、Carbon Black 検出とは一致しません。これらのイベントは、潜在的な攻撃が観測されたのと同じ時にエンドポイントで何が発生していたかについてのコンテキストを確立するのに役立ちます。 コンテキスト アクティビティの観測がアラートに昇格すると、CB 分析観測として再分類されます。 |
| ホストベースのファイアウォール | ネットワーク トラフィックがエンドポイントのホストベースのファイアウォール ルールに一致したときに生成される観測。 |
| 攻撃のインジケータ (IOA) | 攻撃の既知のインジケータに一致し、ほとんどの場合、既知の MITRE ATT&CK 技術に関連付けられているエンドポイントの動作から発生する観測。攻撃のインジケータは、必ずしも本質的に悪意があるわけではありませんが、確認する必要があります。 |
| 侵入検知システム (IDS) | 単一のネットワーク フローで既知の悪意のあるパターンまたは疑わしいパターンを示すネットワーク トラフィックに起因する観測とアラート。ほとんどの場合、これらの動作は既知の MITRE ATT&CK 技術にマッピングされます。 Carbon Black は、既知のシグネチャに対して疑わしいネットワーク トラフィックを監視します。このようなシグネチャが見つかると、IDS 観測が生成されます。 |
| ネットワーク トラフィック分析 (NTA) | NTA は、ネットワークの可用性とアクティビティを監視して、アノマリを特定します。 |
| 改ざん | オペレーティング システムまたは Carbon Black Cloud センサーを改ざんしているプロセスの証拠をキャプチャする観測とアラート。 これらの観測とアラートは、センサーの改ざんの試みを検出して防止するポリシー ルールによって発生する可能性があります。 |
| TAU Intelligence | Carbon Black Threat Intelligence Unit (TAU) からの特定の調査結果によって生成される観測。 このカテゴリには、センサーの動作パターンの分析を使用して作成された観測とアラートが含まれます。これらの観測とアラートが、防止につながることも少なくありません。 |
