Carbon Black Cloud では、有効にするサービスに応じて、スクリプト ホストの置き換えが発生する可能性があります。
Carbon Black Cloud コンソール UI のさまざまなページで、同じプロセスの別の名前を表示できます。スクリプトを呼び出すプロセスの名前は、そのプロセスによって呼び出されるスクリプトの名前(ファイル)に置き換えられます。
たとえば、Carbon Black Cloud コンソールのイベントにはプロセス名として PowerShell.exe が表示され、別のイベントには myscript.ps1 スクリプト名がプロセスとして表示されます。
呼び出しプロセスの名前が呼び出されるスクリプトの名前に変更されることを、スクリプト ホストの置き換えと呼びます。
Enterprise EDR サービスを有効にして [プロセス分析] 画面に移動すると、呼び出しプロセスの名前が PowerShell.exe として表示されます。センサーは名前の置き換えを実行せず、プロセス名はどこでも同じように表示されます。
Endpoint Standard サービスを有効にし、[アラートのトリアージ] 画面に移動すると、スクリプト ホストの置き換えにより、呼び出しプロセスの名前が myscript.ps1 として表示されます。ここでセンサーは、PowerShell が .ps1 ファイルを実行するときにスクリプト名をプロセス名として表示し、セキュリティ アナリストがイベントを調査しなくても簡単に動作を確認できるようにします。これは、V6 アラート API にも当てはまります。
Enterprise EDR 機能と Endpoint Standard 機能の両方が有効になっている場合、スクリプト ホストの置き換えが発生します。
- enhanced:true - スクリプト(ファイル)名をプロセス名として記載するイベントのみを返します。
- enhanced:false - プロセス名をそのまま記載するイベントのみを返します。