Endpoint Standard

• コア防止の除外

  コア防止ルールの管理と調整をより柔軟にする、コア防止ルールの機能強化について発表します。コア防止除外のリリースにより、各カテゴリ内にきめ細かいプロセスベースの除外を作成し、誤検知ブロックが発生した場合にビジネス クリティカルなプロセスを実行できるようになりました。これらの更新の前に、コア防止の誤検出に対する唯一の解決策は、コア防止カテゴリを完全に無効にすることでしたが、これは推奨されません。特定の除外を作成して、ユースケースが中断されないようにカテゴリを有効のままにすることができるようになりました。 

  初めて、プロセス パス、コマンド ライン、ハッシュ、証明書など、プライマリ プロセスまたは親プロセスに関連するさまざまな属性に基づいてプロセス除外を作成できます。これにより、以前よりも特異性の高いプロセスに焦点を合わせて、コマンド ラインを利用したスクリプト アクティビティなど、特定のワークフローの除外を作成できます。

  詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の「発表ブログ」と「コア防止」セクションを参照してください。

  
  

  
  

  
  

強化された E メール通知

• アラート E メール通知の機能強化

  Carbon Black は、今後数か月の間にすべての通知ルールに対して展開されるアラート E メール通知の機能強化を発表します。Carbon Black では、親および子プロセス情報、プロセス ユーザー名、MITRE ATT&CK 情報、その他の高度に要求されたフィールドなどの追加フィールドが導入されています。これらのフィールドは、今後数か月の間に新しい通知ルールとすべての通知ルールで使用できるようになります。

ホストベースのファイアウォール

• カスタム アラートの重要度スコア

  ホストベースのファイアウォールで、アラートの重要度スコアをルールごとに設定できるようになりました。これにより、他の Carbon Black Cloud アラートに対してホストベースのファイアウォール アラートを昇格または降格し、アラート管理エクスペリエンスを向上させ、調査と修正タスクを促進できます。アラートの重要度スコアは、ホストベースのファイアウォール ルールの作成中に、ブロックおよびアラート ルール タイプに対してのみ表示されます。アラートの重要度スコアは、レベル 1 からレベル 10 の間で選択できます。レベル 10 はアラートの重要度が最も高くなります。デフォルトでは、アラートの重要度スコアはレベル 4 に設定されています。

新しい完全防止アクション - アラート ウィジェット

• 以前の名前の [完全防止アクション] ウィジェットが [完全防止アクション - 観測] に変更されました

  以前のリリースでは、「防止マルウェア」ウィジェットが「完全防止アクション」に変更されました。このウィジェットは、強化されたイベントまたは観測を使用して、環境内で発生したブロックの数をカウントします。これにより、ブロックされた環境内のイベントの数に関するより高いレベルの洞察が得られますが、多くの場合、アラートの観点からこのメトリックを表示する必要があります。 

  以前の「防止マルウェア」ウィジェットをより良く複製するために、新しい「完全防止アクション - アラート」ウィジェットが追加されました。このウィジェットは、防止アクションに関連付けられているアラートの数を通知し、[アラート] ページにピボットできます。このウィジェットは、ウィジェット ドロワーのダッシュボードで使用できるようになりました。ダッシュボードの右上隅にある [ウィジェットの追加] をクリックするか、右下隅の [開く] をクリックして、このウィジェットをダッシュボードに追加します。以前の名前の [完全防止アクション] ウィジェットが [完全防止アクション - 観測] に変更されました。

  
  

[センサーのアップグレード] 画面

• [センサー アップグレード] ページのエラー ステータス メッセージ

  コンテナと Kubernetes のサポートを開始した後、[Carbon Black Cloud センサーのアップグレード] ページ/API が更新され、これらのエンドポイントを [クラスタ] ページを使用して更新する必要があることを示す明確なエラー ステータス メッセージが返されました。

  
  

[調査] 画面

• LC-3893：[調査] ページ> [観測] タブに表示される列

  [調査] ページ> [観測] タブで、必ずしもダウンロード可能な CSV ファイルに表示される検索結果に表示されている列をエクスポートするとは限りません。

• LC-3894：[調査] ページ> [観測] タブ IPv4

  [CSV のエクスポート] では、予期されるドット付き 10 進数（10.11.12.13 など）形式ではなく、整数形式の IPv4 アドレスが返されます。

Kubernetes

• DSER-49127：Carbon Black Cloud デバイス アクション API

  Kubernetes から派生したセンサーに登録解除要求を送信しないように、Carbon Black Cloud デバイス アクション API が強化されました。これにより、センサーが望ましくない状態にならないようにします。

すべて

• CBCUI-2937: [観測] 画面のエクスポート機能

  [観測] 画面のエクスポート機能は、グループ別サマリを選択した場合、グループ化された数と結果をエクスポートしません。

• DSEN-21949: [観測] タブのポートが特定の netconns で誤ってスワップされる

• LC-2903: 調査検索が、そのタブの API のインデックスが作成されていないフィールドを使用して検索するときに、ユーザーに警告しない

• DSER-36314: データ フォワーダのフィルタリングでは、「:」文字がエスケープされていない場合は、process_path フィールドにエラーがスローされるが、「\」または「/」文字がエスケープされていない場合はスローされない (最初の記載日: 2021 年 11 月 8 日)

• DSER-36023: アプライアンスがインストールされている環境で、Linux VDI の親/子階層が誤って報告されることがある (最初の記載日: 2021 年 10 月 27 日)

  この問題に対する既知の回避策はありませんが、今後のセンサー リリースで解決される予定です。

• DSER-33682: [プロセス分析] ページを表示すると、プロセスの誤ったファイルパスが表示されることがある (最初の記載日: 2021 年 8 月 26 日)

• DSER-33621: アラートのステータスに「メモが追加されました」と表示されていても、アラートの詳細パネルにグループ化されたアラートのメモが表示されない (最初の記載日: 2021 年 8 月 26 日)

  対応する脅威 ID を検索するときにも、アラートのメモを表示できます。

• DSER-33425: ユーザー インターフェイスにユーザーに通知するエラーまたはメッセージが表示されず、CSV への監査ログのエクスポートが 60 秒後にタイムアウトになる (最初の記載日: 2021 年 7 月 16 日）

• DSER-32435: マイナー OS 名に基づいてデバイスを含めるように構成されたセンサー グループに、メジャー OS 名と一致するデバイスが含まれる場合がある (最初の記載日: 2021 年 6 月 25 日)

  たとえば、Windows 7 x64 デバイスを含めるように構成されたグループに、他の Windows 7 デバイスが含まれる場合があります。この問題は、Windows、macOS、および Linux デバイスに影響します。

• DSER-32398: 一部のアラートで、[アラートのトリアージ] ページのプロセス グラフに空白のノードが表示される (最初の記載日: 2021 年 6 月 25 日)

• DSER-32381: アラートのトリアージ プロセス ツリーには、アラートに記載されているプロセスは含まれないが、コンソールで検索するときにこれらのプロセス イベントが表示される (最初の記載日: 2021 年 6 月 25 日)

• DSER-32293: [調査] ページを表示すると、Effective Reputation に有効なレピュテーションではなく 2 つのダッシュ (「-」) が表示される (最初の記載日: 2021 年 5 月 27 日)

• DSER-32209: [調査] ページから CSV にエクスポートすると、結果 CSV でフィールドが欠落している可能性があります (最初の記載日: 2021 年 5 月 27 日)

• DSER-32012: ジョブが正常に完了しなかった場合、センサー グループの「処理中」メッセージが引き続き表示されることがある (最初の記載日: 2021 年 5 月 27 日)

• DSER-31444: センサーのアンインストール アクションが、[エンドポイント] ページの現在の検索に一致するすべてのセンサーに適用されない (最初の記載日: 2021 年 4 月 26 日)

• DSER-30497: 任意のしきい値で自動禁止機能を有効にすると、会社の禁止リスト ルールでアプリケーションのデフォルトのアクションが [実行または実行中の場合に終了] から [ネットワーク経由での通信時に終了] に変更される (最初の記載日: 2021 年 4 月 26 日)

  この変更は、禁止リスト ルールが有効になっているすべてのポリシーに適用されます。

• DSER-29646: サブネット ルールが構成されている場合、センサーが想定されるセンサー グループに割り当てられないことがある (最初の記載日: 2021 年 3 月 18 日)

• DSER-29898: SAML ログイン フローでの大文字と小文字を区別するメール チェック (最初の記載日: 2021 年 3 月 2 日)

• DSER-28814: [アラートのトリアージ] ページのプロセス ツリーに空白のエントリが含まれることがある (最初の記載日: 2020 年 12 月 16 日)

• DSER-27969: プロセス分析グラフに、同じプロセスの親と子の両方としてプロセスが表示されることがある (最初の記載日: 2020 年 11 月 11 日)

• DSER-25397: ウォッチリスト レポートが調査クエリ ページに移植されない (最初の記載日: 2020 年 8 月 17 日)

• DSER-23471: ダッシュボードのエクスポートで個々のウィジェットをエクスポートするとタイムアウトになることがある (最初の記載日: 2020 年 8 月 3 日)

• DSER-25329: ファセット検索は、検索が完了する前に完了したと報告する可能性がある (最初の記載日: 2020 年 7 月 16 日）

• DSER-25244: ウォッチリストの削除が監査ログで追跡されない (最初の記載日: 2020 年 7 月 16 日）

• DSER-25244: 組織が Enterprise EDR を削除しても、ウォッチリスト アラートが発生する可能性がある (最初の記載日: 2020 年 7 月 16 日）

• DSER-24196: API 検索では、フィールドのフィルタリング順序に基づいて異なる結果が返される場合がある (最初の記載日: 2020 年 7 月 16 日）

• DSER-4390: センサーのバージョンが [エンドポイント] > [センサー キットのダウンロード] ウィンドウで利用可能なバージョンよりも低い場合のみ、デバイスにアップグレードの対象のステータスが表示される (最初の記載日: 2019 年 9 月 18 日)

Container Essentials

• CBC-6388: CVE モーダル ウィンドウの [例外] タブ (最初の記載日: 2021 年 4 月 29 日)

  CVE のモーダル ウィンドウの [例外] タブで、例外が削除されてから例外テーブルに更新されたステータスが反映されるまでに若干の遅延が生じます。その結果、テーブルに、削除後 1 秒間、古い例外データまたは無効な例外データが表示されることがあります。

  テーブルを更新すると、この問題は解決します。

• CBC-6468: [すべて] フィルタに基づくイメージと脆弱性の数が正しいステータスを反映していない (最初の記載日: 2021 年 4 月 29 日)

  コンテナ イメージの脆弱性ページの、[すべて] フィルタに基づくイメージと脆弱性の数は、テーブルの [Kubernetes で実行中] フィルタのステータスを反映しません。

• CBC-6540: [Kubernetes イメージ] ページで、表示されるワークロードの数が最新の値と同期しない場合がある (最初の記載日: 2021 年 4 月 29 日)

  [Kubernetes イメージ] ページで、表示されるワークロードの数が最新の値と同期しない場合があります。対応する [ワークロード] ウィンドウに最新の情報が表示されます。

• GRC-320: テンプレートを更新すると、ルールの検索フィールドが無効になり、ルールを検索できない (最初の記載日: 2020 年 12 月 22 日)

• GRC-328: 条件なしで MAPL ルールを使用して Kubernetes リソースを検索すると、結果が返されない (最初の記載日: 2020 年 12 月 22 日)

• GRC-345: 一部の違反が不明なリソース グループの下に表示される (最初の記載日: 2020 年 12 月 22 日)

• GRC-418: Kubernetes バージョン 1.15 以前を実行しているデータプレーンで、ワークロード名が空になることがある (最初の記載日: 2020 年 12 月 22 日)

• GRC-2222: CLI インスタンスが削除された後、CLI で作成された API キーが削除されない (最初の記載日: 2022 年 4 月 14 日)

• KRS-606: ネットワーク マップに GKE v2 データプレーン クラスタのアクティビティが表示されない (最初の記載日: 2021 年 10 月 27 日)

• KRS-902: ポリシーのサイド パネルをクリックして別のポリシーのアラート モーダルを開くと (最初のポリシーがまだフォーカスされている場合)、ルールが中断される (最初の記載日: 2022 年 2 月 28 日)

• KRS-903: [アラート] ページからモーダル モードで開くと、[ワークロードの概要ランタイム] タブでワークロード ベースラインのロードに失敗する (最初の記載日: 2022 年 2 月 28 日)

• KRS-904: RuntimePolicyModal がポリシー データを 2 回取得する (最初の記載日: 2022 年 2 月 28 日)

• KRS-919: RuntimePoliciesTableSidePanel がポリシーの変更時に閉じられる。これは削除時にのみ発生すべきである (最初の記載日: 2022 年 2 月 28 日)

• KRS-975: SimpleSelect が無効なオプションをサポートしていない (最初の記載日: 2022 年 2 月 28 日)

• N/A: 正規表現修飾子を含むリテラル文字列を検索すると、予期しない検索結果が生じることがある (最初の記載日: 2021 年 4 月 29 日)

  コンテナ イメージ検索テーブルのすべての検索ボックスは、正規表現クエリをサポートするため、正規表現修飾子を含むリテラル文字列を検索すると、予期しない検索結果が生じることがあります。実際の文字を検索するには、「+」や「*」などの文字の前に「¥」（正規表現のエスケープ文字）を付ける必要があります。

Endpoint Standard

Enterprise EDR

• DSEN-23853: IDS 観測で netconn_inbound フィールドが常に false に設定される

• DSEN-23733: すでに実行されているプロセスに対して EEDR ハッシュの禁止が機能しません

• DSER-25536: [ウォッチリスト] ページから [調査] を開いた場合、[調査] ページの [プロセス分析] ボタンが機能しない (最初の記載日: 2020 年 8 月 3 日)

• DSER-25981: 検索 API ファセット リクエストで範囲パラメータが処理されない (最初の記載日: 2020 年 8 月 17 日)

• DSER-25929: ウォッチリスト アラートから調査へのリンクに、関連するすべてのメタデータが表示されない (最初の記載日: 2020 年 8 月 17 日)

• DSER-26185: 矢印キーを使用して提案されたクエリ用語または値を選択すると、一部のページの検索バーが挿入されず、既存の検索バーの内容が置き換えられる (最初の記載日: 2020 年 8 月 21 日)

• DSER-26035: /tree Search API エンドポイントが、既知の process_guid に対して「リソースが存在しません」というメッセージを返す (最初の記載日: 2020 年 8 月 21 日)

• TPLAT-9183: 有効な署名の署名ステータスが UNKNOWN である (最初の記載日: 2020 年 8 月 31 日)

ワークロード

• CBC-19264: パブリック キーのダウンロード時にタイムアウトが発生すると、不正確なエラー メッセージが表示される

  自動化スクリプト（ユーザー データ、Ansible、Chef、Puppet）を使用してセンサーをインストールすると、スクリプトは VMware パブリック キーをダウンロードし、ダウンロード後にパブリック キーを検証します。

  タイムアウトが原因でダウンロードに失敗すると、パブリック キーの検証エラーが表示されます。

  VMware public key seems to be tampered. Exiting...

  このエラー メッセージは正確ではありません。正しいエラー メッセージは、キーのダウンロード エラーを参照している必要があります。

  回避策: 数分待ってから再試行してください。

• DSER-28998: 監査と修正が無効になった後も、監査と修正クエリが引き続き実行される

  監査と修正が無効になっていても、以前にスケジュール設定されたライブ クエリはスケジュールに従って続行されます。この機能が使用できなくなった場合、クエリの実行が停止することが予想されます。

• DSER-39330: CBC 推奨ページ: すべての署名 CA フィールドに「不明」値が表示される

XDR

• CBCUI-3007: 観測アラートの詳細

  観測の [アラートの詳細] 右ペインで [閉じる] アクションをクリックすると、アラートは閉じますが、コンソールに誤ってエラーが表示されます。

• DSEN-23805: Windows 3.9.1 MR1 センサーが IDS アラートの TLS プロパティを報告しない

• CBC-26691: netconn_tls_cipher が人間に解読可能な暗号スイート値を返したりインデックス付けしたりしない

• DSER-45927: XDR 対応の [アラート] 画面では、次のタイプ の検索はサポートされていません。INTRUSION_DETECTION_SYSTEM

アラート エクスペリエンスの機能強化

• すべてのアラートで検索できるメタデータを追加

  プロセス コマンド ラインとユーザー名、親および子プロセス情報、netconn データ、追加のデバイス フィールド、MITRE 分類（利用可能な場合）などの新しいアラート メタデータの導入。

  
  

• 新しいフル スクリーン アラートの詳細ビュー

  ユーザーは、更新されたアラート画面を完全なアラート詳細ビューで表示できるようになりました。

  
  

• カスタマイズ可能な新しいアラート フィルタとテーブル列

  新しいアラート フィルタとテーブル列を表示できるようになりました。

  プライマリ アラート テーブルの追加のアラート列。

  
  

  アラートをフィルタリングする追加の方法。

  
  

• アラートを「進行中」としてマークし、アラート ステータス ワークフローを追跡する機能

  製品内アラート ワークフロー管理の導入により、アラートを「進行中」としてマークし、SOC チーム全体でアラートのトリアージをよりよく管理できます。ワークフロー 列にはアラートのステータスが表示され、ここでユーザーはアラートのワークフローを 開始、終了 または 進行中 に変更できます。

  アラート ワークフローの編集の詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の次のセクションを参照してください。アラート ワークフローの編集 (vmware.com)

  ユーザーは、アラート ID 履歴 カードで、アラートのワークフロー ステータスに対する以前の変更をすべて表示できます。[アラート履歴] の可視性が強化され、すべてのアラート ワークフローの状態遷移（例: 開始 -> 進行中）、コメント、判定、クロージャ情報、およびその他の項目の履歴が表示されます。

  強化されたアラートの詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の次のセクションを参照してください。アラートの詳細表示 (vmware.com)

• アラートの判定機能

  ユーザーは、アラートを真陽性または誤検出アラートとしてマークできるようになりました。アラートに関するフィードバックを提供することで、一部のウォッチリストの分類システムの精度も時間の経過とともに向上します。

  詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の次のセクションを参照してください。アラートに対する判定の追加 (vmware.com)

• 拡張グループ分け基準: 脅威 ID ビュー

  改善されたグループ分け基準の脅威 ID ビューで、グループ化されたアラートの管理と使用が容易になりました。

  詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の次のセクションを参照してください。グループ分け基準: 脅威 ID (vmware.com)

• メモ管理の強化

  ユーザーは個別のアラートと脅威 ID 別にグループ化されたアラートの両方にメモを追加できるようになりました。ユーザーは [アラート ID 履歴] ペインと [脅威 ID 履歴] ペインにメモを追加できます。

  詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の次のセクションを参照してください。メモを追加 (vmware.com)します。

CIS ベンチマーク

• AWS Cloud に展開されたアセットは、このリリースからサポートされています

  CIS ベンチマークで AWS インスタンスがサポートされるようになりました。この機能は、Windows センサー 3.9 で使用でき、現在は次の Windows サーバをサポートしています。Windows server 2012、Windows Server 2012 R2、Windows server 2016、Windows server 2019 and Windows server 2022この機能はすべてのワークロード ユーザーが使用できます。Carbon Black では既存のユーザーのオンボーディングを段階的に行います。

  CIS ベンチマークの推奨事項 タブで、すべてのアセット、仮想マシン ワークロード、または AWS インスタンスを表示するかどうかを選択できるようになりました。左側のナビゲーション ペインで、ユーザーはアセット タイプ ドロップダウン メニューから すべてのアセット、仮想マシン ワークロード、または AWS インスタンス を選択できます。アセット タイプを選択すると、コンプライアンスは選択に基づいて値を反映し、すべてのタブには選択したアセット タイプが表示されます。

  
  

コンテナ

• クラウド ネイティブの検出と応答

  コンテナと Kubernetes は、組織がマルチクラウドおよびハイブリッド テクノロジー インフラストラクチャを採用するようになるにつれて、最新のアプリケーションの変革の代名詞となっています。ただし、クラウド ネイティブ アーキテクチャとコンテナの成長により、組織の攻撃対象領域も拡大します。Security Operations Center (SOC) チームには、クラウド ネイティブ環境の複雑さを学習する任務があり、セキュリティ カバレッジが限定的または全くない本番環境で実行されているコンテナ、カバレッジのギャップを生み出す異種ツール、およびこれらのアプリケーションのさまざまなレイヤーに対する限られた可視性という課題もあります。

  VMware Carbon Black の新しいクラウド ネイティブの検出と応答 (CNDR) 機能は、単一の統合プラットフォーム内のコンテナと Kubernetes に対する強化された脅威検出を提供します。CNDR は、非常に動的で複雑な最新アプリケーション環境で、VMware Carbon Black ユーザーに統合された可視性、セキュリティ、および制御を提供します。これらの機能強化は、Linux コンテナのランタイム保護を提供し、新たな脅威からアプリケーションを保護し、攻撃者が悪用する盲点を排除するためのスケーラブルなアプローチを提供することを目的としています。

  Container Advance のユーザーは、最新の Kubernetes センサーを使用して CNDR のメリットを享受できるようになりました。クラウド ネイティブの検出と応答は、コンテナおよび Kubernetes コンテキストを含む Kubernetes メタデータに基づいてイベントとアラートをグループ化することで、Kubernetes およびコンテナベースの攻撃を検出して応答し、ワークロード ポスチャ リスクにアクセスしてアセットを迅速に評価するのに役立ちます。

  
  

  既存のプロセス ツリーの上部に Kubernetes およびコンテナ データをオーバーレイすることで、クラウド クラウド ネイティブ環境の脅威を評価できます。

  
  

  Kubernetes およびコンテナベースのイベントをクエリして、クラウド ネイティブ環境を簡単に調査し、ウォッチリストを作成し、Kubernetes およびコンテナの脅威アラートをトリガできます。製品内の『検索ガイド』を使用して、利用可能な検索語の完全なリストにアクセスし、詳細なクエリの作成に役立ててください。

  新機能の詳細については、『VMware Carbon Black Container ユーザー ガイド』の次のセクションを参照してください。

  • [調査] ページでのコンテナ イベントの調査 (vmware.com)

  • [プロセス分析] ページでのコンテナ イベントの調査 (vmware.com)

  • Kubernetes アラートのトリアージ (vmware.com)

• シークレット検出

  シークレット検出は、お客様のコンテナ セキュリティ戦略の重要な部分であるだけでなく、機密データが攻撃者の手に渡らないようにするために重要です。通常、攻撃者は特定のシークレットを念頭に置いています。これらのシークレットは、開発ライフサイクルの早い段階のエラーによって公開されます。

  VMware Carbon Black Container を使用すると、コンテナ化されたアプリケーション内のすべての実行可能ファイルをスキャンしてシークレットを検出できるようになりました。これにより、Carbon Black Container ユーザーが使用できる既存のイメージ スキャンおよびマルウェア検出機能に追加されます。

  コンテナ ユーザーは、CI/CD 統合のために最新の Kubernetes センサーと CLI を使用して、シークレットのイメージをスキャンできるようになりました。スキャナは、ファイル、環境変数、およびコマンド パラメータを検索して、シークレットが何らかの形でイメージに含まれていないことを確認します。難読化されたシークレットとそのソースは、コンソールのイメージ ページと CLI 出力に表示され、シークレット ソースを特定してリスクを軽減するのに役立ちます。詳細については、製品ドキュメントを参照してください。

  
  

• CNS-3196: 新しい k8s ワークロード リスク カテゴリ

• CNS-3185: ワークロード テーブルのファセットが除外機能で拡張された

ホストベースのファイアウォール

• アラートからルールに直接移動

  Carbon Black Cloud のホストベースのファイアウォール (HBFW) によって、環境内のエンドポイント間のアプリケーションのネットワーク動作を制御するルールを作成できます。この機能セット内で、HBFW は動作をブロックし、関連するアラートを生成するルールを作成するオプションを提供します。[アラートの詳細] ビューからワンクリックでアラートをトリガした HBFW ルールに直接移動することで、そのアラートを調査する際に、さらに詳細な情報を取得できるようになりました。これにより、ユーザーはアラートを生成した内容を理解でき、またルールに関連する変更を加えることで、より適切に環境のニーズに合うようにすることができます。

スクリプトの難読化解除

• 公開 Powershell の API サポート

  公開 Powershell の難読化解除機能で、統合に使用する API がサポートされるようになりました。開発者ネットワークの詳細については、https://developer.carbonblack.com/2023/07/announcing-vmware-carbon-black-cloud-reveal-api/ を参照してください。

macOS のサポート

• 脆弱性管理の一部としての macOS アセットのサポート

  このリリースの Carbon Black Cloud では、脆弱性管理ソリューションの一部として macOS アセットのサポートが追加されています。サポートされているセンサーと OS バージョンの詳細については、macOS Sensor OER の Carbon Black Cloud のドキュメントを参照してください。

  macOS サポートの追加により、脆弱性管理は、OS およびアプリケーションの脆弱性に起因する攻撃の被害者となる可能性が最も高い、すべての主要オペレーティング システムに対する、CVE のリスクの優先順位リストを提供できるようになりました。macOS で使用可能な一連の機能は、1 回限りのオンデマンド スキャンを必要とせずに脆弱性を自動的に評価し、インテリジェントなリスクの優先順位付けを使用して運用を簡素化し、Carbon Black Cloud コンソール内でこれらの CVE の可視性を直接提供する機能で、他の OS タイプの機能をミラーリングします。

ワークロード

• Azure および Google Cloud

  パブリック クラウドの VMware Carbon Black Cloud ワークロードは、Azure サブスクリプションと GCP プロジェクト管理のオーバーヘッドを簡素化しながら、Azure および Google Cloud (GCP) ワークロードを保護する機能を提供するようになりました。 

  主要な機能は次のとおりです。 

  • 単一および複数の Azure サブスクリプションと GCP プロジェクト管理。 

  • 自動生成された CI-CD エージェント インストール パッケージ。 

  • 保護されたワークロードと保護されていないワークロードのインベントリに対する可視性の強化。 

  Carbon Black では、パブリック クラウド向け Carbon Black Cloud Workload を有効にする前に、Carbon Black センサーを最新のセンサー バージョンに更新することをお勧めします。これらのセンサーは、パブリック クラウド向け Carbon Black Cloud Workload を有効にした後でもアップグレードできます。 

  機能は次のとおりです。 

  • 脆弱性評価: VMware Carbon Black Cloud Workload は、保護されたワークロード全体の OS およびアプリケーションの脆弱性のリストを InfoSec およびクラウド管理者に提供します。このソリューションは、スキャンを行うことなくリスクに優先順位を付けることで、運用上のオーバーヘッドを削減し、最も重要なデータを使いやすい形式で提供します。 

  • インベントリ: Infosec 管理者とクラウド管理者は、Carbon Black Cloud コンソールを使用して、Azure と GCP ワークロードのインベントリを表示できます。次のことが可能です: 

    • 保護ステータスと割り当てられたポリシーについて知る。

    • インベントリの概要および実行可能なメトリックを表示して、セキュリティ状態と Azure および GCP の占有量に関する主要な情報を理解する。

    • Azure/GCP タグ、脆弱性を含むがこれらに限定されないパブリック クラウド ワークロードに関する豊富なデータ セットにアクセスし、さまざまな管理アクションをトリガする。 

    • 終了後に Azure および GCP ワークロードの自動登録解除を使用して、すぐに使用できる一時的なインスタンスの管理を強化する。 

  • センサーの展開: Infosec 管理者は、自動生成されたセンサー インストール パッケージを簡単にダウンロードして、既存の CI-CD ワークフローに組み込むことができます。Chef、Puppet、Ansible などの一般的なツールがサポートされています。 

  • パブリック クラウド アカウント管理: Infosec 管理者と Azure/GCP 管理者は、Azure サブスクリプション/GCP プロジェクトとリージョンを簡単に管理できます。次のことが可能です: 

    • 単一のサブスクリプション/プロジェクトを追加する。 

    • サブスクリプション/プロジェクトの一括インポートを利用して、既存のサブスクリプション/プロジェクトの迅速なオンボーディングを容易にする。 

    • オンボーディングされたサブスクリプション/プロジェクトとリージョンを検索して、使いやすい形式でエクスポートする。

コンテナ

• CNS-3124: ワークロード サマリ - 固定テーブルの高さ

• CNS-3108: [脆弱性] ページ - [すべて] タブを取得できない。サーバから 500 を取得している

Enterprise EDR

• DSER-48535: netconn_community_id 値が準拠していない

  Carbon Black Cloud データ フォワーダによって出力された netconn_community_id 値が、ここに記載されている「corelight リファレンス実装」に準拠していません。

• LC-3907: プロセス検索 API によって netconn_community_id 値が返される

  プロセス検索 API によって返される netconn_community_id 値と [プロセス分析] ページが、ここに記載されている「corelight リファレンス実装」に準拠していません。

XDR の機能強化

• ネットワーク トラフィックの分析

  NTA（ネットワーク トラフィック分析）は、このリリースで導入された新しいタイプの観測です。

  Carbon Black の従来の静的検出の多くとは異なり、NTA はトラフィック分析を使用してネットワーク アクティビティと履歴データを監視し、ネットワーク内のアノマリを特定します。

  この最初のロールアウトには、「プロファイラ」と呼ばれる 3 つの独特なディテクタのセットが含まれています。これらのディテクタは、予期されるトラフィックのプロファイルを確立し、予期されるプロファイルの外部で発生するアクティビティを検出することで機能します。

  • ユーザー エージェント プロファイラ: ローカル デバイスから行われる HTTP 接続の異常なユーザー エージェントをユーザー エージェントと比較して識別します。通常は、デバイスからの HTTP 接続で確認されます。

  • IP プロファイラ: 通常見られる接続と比較して、デバイスに関連付けられているアノマリな IP アドレス接続を識別します。 

  • ポート プロファイラ: 通常とは異なる宛先ポートを持つローカル ホストとの接続を識別します。これらのアノマリは、そのホストが通常接続したり、接続を受けたりする宛先ポートと比較されます。 

• ポリシーの機能強化

  XDR データ収集をオフにするには、 [適用] > [ポリシー] > [センサー設定] の順にクリックします。XDR データ収集を無効にすると、侵入検知システム (IDS)、NTA アラート、観測など、XDR 固有の拡張ネットワーク テレメトリが記録されません。

データ フォワーダ

• データ フォワーダによるアラート フォワーダ バージョン 2.0.0 の起動

  1.15 リリースで v7 Alerts API を起動した後、Carbon Black Cloud データ フォワーダは、これらの新しいアラートのサポートを利用できるようになりました。アラート スキーマが大幅に変更され、既存の「アラート」データ フォワーダと互換性がなくなったため、Carbon Black Cloud ではアラート フォワーダの明示的なバージョンを選択できるようになりました。

  • 既存のアラート フォワーダは「1.0.0」バージョンと呼ばれます。

  • 新しいアラート フォワーダは「2.0.0」バージョンと呼ばれます。

  アラート タイプの選択時に、Carbon Black Cloud コンソールの [設定] > [データ フォワーダ] 画面のすべてのユーザーに、新しいスキーマ構成ドロップダウン メニューが表示されるようになりました。デフォルトで、アラート フォワーダはアラート フォワーダの「2.0.0」バージョンを提供し、常にアラート フォワーダの最新バージョンにデフォルト設定されます。 

  v2 Data Forwarder Config API のすべてのユーザーは、新しいオプションの入力パラメータ「version_constraint」と、「current_version」と呼ばれるすべての GET 要求の新しい戻り値を表示できます。今後アラート フォワーダを作成または編集する API 呼び出し元は、「version_constraint」パラメータを指定しない場合、1.0.0 アラート フォワーダ バージョンにデフォルト設定されます。

  データ フォワーダに関するその他の情報については、以下を参照してください。

  • 新しいアラート フォワーダのリリースと今後の計画について（UEX へのログインが必要）

  • アラート フォワーダ スキーマ

  • データ フォワーダ構成 API への更新

  • データ フォワーダのセマンティック バージョンニングに対する Carbon Black のコミットメント

  • 新しい 2.0.0 アラート フォワーダ スキーマの導入を可能な限り簡単にするために、アラート フォワーダに対してアプリケーション、スクリプト、またはその他の統合を自動化した開発者向けの移行ガイダンスについて

Endpoint Standard

• ハッシュに基づくデータ保持

  開発サイクルを効率化するために、Carbon Black は、Endpoint Standard のライセンスを付与されているが Enterprise EDR のライセンスがないお客様に対して、ハッシュ オリジン デバイスの普及率のデータ保持を 6 か月から 3 か月に変更しています。アラートまたはイベント データへの影響はありません。

• デバイス制御 - デバイス インベントリと承認のエクスポート

  Carbon Black Cloud は、環境内で検出された USB 大容量ストレージ デバイスを可視化および制御し、信頼されていないデバイスをブロックし、信頼できるデバイスを承認する機能を提供します。Carbon Black Cloud ユーザー インターフェイスには、環境内で検出された USB 大容量ストレージ デバイスと、承認された信頼できるデバイスのリストが保持されます。今回のリリースでは、[インベントリ] 画面で検出されたデバイスのリストと、 [承認] 画面 から承認されたデバイスのリストをエクスポートできるようになりました。

Enterprise EDR

• XDR リリース 2

  • アラート フォワーダ バージョン 2.0.0 では、侵入検知システム アラートが使用可能になりますが、これはバージョン 1.0.0 のアラート フォワーダには表示されません。詳細については、データ フォワーダによるアラート フォワーダ バージョン 2.0.0 の起動参照してください。

  • Netconn では、観測、アラートのトリアージ、およびプロセス分析での更新について詳述しています。

調査

• 観測の更新

  ホストベースのファイアウォールおよび侵入検知システム (IDS) アラートで、アラートごとに最大 100 件の同一の観測結果が報告されるようになりました。100 件以降、Carbon Black Cloud は追加の重複観測を抑制します。これにより、システムの疲労が軽減され、検索の高速化に役立ちます。

ホストベースのファイアウォール

• ホストベースのファイアウォールのポリシー ルールのエクスポート

  Carbon Black Cloud ホストベースのファイアウォールを使用すると、ユーザーは Windows エンドポイントおよびワークロード全体のアプリケーションのネットワーク動作をブロック、許可、およびアラートできます。この機能は、従来のファイアウォール ソリューションを、エンタープライズ規模で簡単に管理できる軽量のルールベースのソリューションに置き換えます。Carbon Black Cloud ユーザー インターフェイスは、ホストベースのファイアウォールのすべてのルールを作成および管理するための一元化されたコンソールを提供します。このエクスポート機能のリリースにより、[ホストベースのファイアウォール ポリシー] 画面から、ルール グループ、ルール、および関連するルール パラメータの完全なセットをエクスポートできるようになりました。

Managed Detection and Response

• 監査ログ コンテンツの機能強化

  Managed Detection and Response Audit のログ コンテンツが改善され、ユーザー情報と現在の通知設定が含まれるようになりました。監査ログ エントリは、ユーザーが [検出の管理] 画面または [通知] 画面のいずれかを選択し、現在の通知選択を更新、追加、または削除するたびに追加されます。次に、Managed Detection and Response 通知の更新に関する新しい監査ログ コンテンツの例を示します。

  
  

[センサーのアップグレード] 画面

• [センサーのアップグレード] 画面の改善

  ユーザーがセンサー アップグレードの停止を要求すると、「停止中」状態に移行します。ユーザーの停止要求と、結果としてバックエンドで処理される変更の間には数分の遅延が発生する可能性があります。この新しいステータスは、要求が受信され、処理中であることを示します。 

  ユーザーが新しいセンサー アップグレードの作成を要求すると、「初期化中」状態に移行します。大きなジョブは、小さなジョブよりも初期化にかなり時間がかかり、最大で数分ほどかかるため、コンソールに混乱した状態で表示される可能性があります。この新しい「初期化中」状態は、アップグレードを準備するために作業がまだ行われていることを示します。

監査と修正

• DSER-47984：「6E075145」形式の文字列クエリの結果によって失敗する

  クエリ結果の文字列が「6E075145」形式の場合、コードはそれを Java の Double 値として解析しようとしますが、解析された結果は「Infinity」となり、失敗します。

  Java String などの文字列を解析する修正を追加しました。

• DSER-47639：envoy パスを処理する LQ-Device-API 機能

• DSER-47932：VDP で q-diff json および csv エクスポートに同じ CSV_EXPORT_BUCKET_NAME を使用している

V7 アラート API

• アラート V7 API の発表

  新しいアラート V7 API は、6 月 15 日に市販および統合する準備が整いました。これは、VMware Carbon Black Cloud アラート エクスペリエンスに対して今後出される多くの機能強化の最初の機能です。アラート V7 API には、以下を含むいくつかの新機能が導入されています。

  • プロセス コマンド ラインとユーザー名、親および子プロセス情報、netconn データ、追加のデバイス フィールド、MITRE 分類（利用可能な場合）などの追加メタデータによってオーバーホールされたアラート スキーマ。

  • グループ化されたアラートの使用と容易な管理。

  • アラートを「処理中」としてマークする機能。

  • アラートを「真陽性」または「偽陽性」としてマークする機能。

  • 検索とフィルタリングの両方で使用可能な追加フィールド。

  • 個別のアラートと脅威の両方にメモを追加する機能を備えたメモ管理の強化。アラートは脅威別にグループ化されます。

  新しいアラート V7 API により、アラート管理が向上し、Carbon Black Cloud でのアラートの管理、使用、トリアージが容易になります。詳細については、開発者ネットワークでの CBC アラート API の発表を参照してください。この発表は 6 月 15 日に公開されます。

  既存の統合を使用しているユーザーの場合、v6 から v7 API に移行するための詳細情報がまもなく公開され、その後、Carbon Black Cloud Python SDK の更新バージョンが公開されます。また、データ フォワーダの、アラート v7 API に合わせて更新されたスキーマ バージョンもまもなくリリースされます。Splunk や QRadar などの統合は、今後のリリースで段階的に更新され、新しいアラート データを利用できるようになります。

[調査] > [観測]

• [調査] > [観測] が強化イベントに置き換わります

  2023 年 3 月からプレビュー モードになっている [調査] 画面の [観測] タブがデフォルトのエクスペリエンスになりました。このCarbon Black TechZone ポスト の下部にあるビデオで最もよく見られるさまざまな変更に気づく場合があります。

  [観測] タブの右上隅にある [新しい調査エクスペリエンス] トグルをクリックすることで、観測を止めて [強化イベント] タブを使用することができます。強化イベント に戻すオプションは、今年後半に削除される予定です。

  新しいエクスペリエンスに関するフィードバックを提供するには、観測フィードバック フォームを使用します。

• [調査] > [観測] の改善

  グループ分け基準 を使用すると、結果には、そのフィールドの値ごとに一致する数だけでなく、表示される残りの列に対して一意の値がいくつ存在するかも表示されます。「--」は、そのグループ内にその列の値がないことを意味します。任意の行の 観測 数の列をクリックして、単一グループのバリエーションを確認できます。

  
  

  [観測] タブの グループ分け基準 リストには、強化イベント の「アプリケーション」サブタブに相当するものが含まれていませんでした。[観測] タブの グループ分け基準 リストで [プロセス ハッシュ] を選択して、アプリケーション別にグループ分けできるようになりました。

  [観測] タブには 表示基準 機能が追加され、検索結果を分析する 4 つの方法をすばやく切り替えることができます。

  1. 観測、デフォルト ビュー

  2. デバイス

  3. ネットワーク

  4. プロセス ハッシュ

  これは、グループ分け基準 機能と組み合わせて、[強化イベント] 画面の静的サブタブに相当します。

  ATT&CK 戦術 フィルタおよび ATT&CK 技術 フィルタには、選択を容易にするため、ATT&CK ID と一緒に戦術または技術の名前が含まれるようになりました。例えば、単に「TA0010」ではなく「TA0010 - 逆侵出」となります。

  右側のナビゲーション ペインの 観測の詳細 は、データの編成を改善し、脅威やルールなど使用可能なさまざまなエビデンスのヘッダーとして この観測をトリガしたもの を指定します。

  新しい 「観測ディープ ダイブ」ビデオ では、観測 および 調査 のすべての新機能と非表示機能を強調しています。

  改善された 観測フィードバック フォームを使用し、強化イベントと比較して [観測] タブのさらなるバグやギャップを報告します。

• ネットワークの詳細に追加されたアクション

  次の順に移動してネットワークの詳細にアクセスできます:

  1. [調査] > [観測] > 右側のペイン

  2. [プロセス解析] > [イベント] > 展開された詳細

  3. [アラートのトリアージ] > [観測] > 展開された詳細

  ネットワークの詳細ペインに、リモート ドメインまたはリモート IP アドレスを検索するための新しい VirusTotal で検索 アクションが追加されました。

Endpoint Standard

• 観測されたアラートは現在の観測です

  V7 アラート API リリースに伴い、Carbon Black Cloud は「観測されたアラート」への変更も発表しています。観測されたアラートとは、興味深いセキュリティ コンテキストを含む可能性があるが、Carbon Black によって脅威であるとは判断されないイベントです。観測されたアラートは実行可能な設計ではなく、完全な調査を必要としません。

  今後、観測されたアラートは [アラート] 画面または新しい V7 アラート API に表示されなくなります。観測されたアラートは、[調査] 画面に観測として表示されるようになります。これらの観測を確認するには、[調査] 画面に移動し、Carbon Black Cloud でフィルタリングします。このセクションに表示されるアラートのない観測には、[アラート] 画面で利用可能だった観測されたアラートが含まれます。

  V6 アラート API と元のアラート フォワーダを利用しているお客様は、この変更の影響を受けず、V6 API が廃止されるまで、これらの観測されたアラートにアクセスできます。

[センサーの更新ステータス] タブ

• デバイスのアップグレード制限を 10,000 から 250,000 に増やす

  最大 250,000 個のセンサーを、Carbon Black Cloud コンソールのアップグレード リクエスト (ジョブ) に追加できます。

• Carbon Black Cloud コンソールの [インベントリ] 画面の [センサー更新ステータス] タブのユーザー インターフェイスを更新しました

  新しい [センサー更新ステータス] タブでは、ユーザーのフィードバックに対処して、センサー更新の進行状況の可視性と制御を強化できます。新しい [センサー更新ステータス] タブを使用すると、大規模なセンサー管理を改善し、大規模なエンタープライズ環境における柔軟性が向上します。 

  
  

  新しい [センサー アップグレード ステータス] タブでは、以下を実行できます。

  • Carbon Black Cloud コンソールで、アップデートするセンサーのグループに一意の名前を付けるか、名前を変更します。これにより、センサーのアップグレードの構成が改善されます。メモ: エラーを回避するには、各センサー グループに一意の名前を指定する必要があります。

  • センサーによるセンサー アップグレードのステータス（[未開始]、[進行中]、[失敗]、または [更新済み]）を確認します。これにより、センサー アップグレードのステータスがわからないというユースケースが改善されます。

  • センサー更新内の特定のデバイス名を検索します。

ワークロード

• CWP-15738: すべての CWP および VCDR ユーザーに対してセンサーのインストール ポップアップに 3.9.1.2668 のみが表示される

監査と修正

• 新しい推奨クエリ カテゴリ - センサー分析

  [Live Query] > [新しいクエリ] 画面で、推奨クエリの新しいカテゴリが使用できるようになりました。このカテゴリは「センサー分析」というタイトルで、3.8 Windows センサー リリースで導入された Windows Live Query 拡張機能テーブルのクエリのための推奨事項を提供します。 

  Live Query 拡張機能テーブルの詳細については、VMware Carbon Black Cloud ユーザー ガイドを参照してください。

コンテナ

• Kubernetes 接続マップに、上位接続と統計情報のための新しいサイド パネルを含む新しいユーザー インターフェイスの機能強化が含まれる場合がある

  新しい Kubernetes 接続マップ設計では、最も関連性の高いデータに重点を置き、より優れた視覚的エクスペリエンスを実現します。このマップには、クラスタ内のネットワーク トラフィックを評価するための接続タイプに関する視覚的なサマリを表示する棒グラフが導入されます。インタラクティブ エクスペリエンスにより、クラスタのさまざまな領域のネットワーク アクティビティを確認できます。このマップは、ユーザーがクラスタの動作を理解し、関心のある領域を強調表示するのに役立ちます。 

  
  

• VMware Carbon Black Container の新しいユーザー ガイド

  新しい VMware Carbon Black Container ユーザー ガイドが利用可能です。このスタンドアローン ガイドには、コンテナ環境のインストール、構成、管理に必要なすべての情報が含まれています。 

  • このガイドの HTML バージョンは、メインの VMware Carbon Black Cloud ユーザー ガイドに組み込まれています。

  • 製品のすべての状況依存ヘルプ リンクが新しいガイドとトピックにリダイレクトされました。

  • メイン ガイド全体に以前に組み込まれたコンテナ関連のトピックは削除されました。すべてのコンテナ コンテンツは新しいガイドに記載されています。

  • スタンドアローン VMware Carbon Black Container ユーザー ガイド PDFは、Carbon Black Cloud ランディング ページのクイック リンクまたはコンテナ ガイドの HTML はじめにページからダウンロードできます。

  これは、このガイドのバージョン 1 であり、フィードバックをお勧めします。トピックまたはガイド自体に関するフィードバックを提供する場合は、それぞれのページのフィードバック オプションを使用してください。

MDR

• VMware Carbon Black Managed Detection and Response に関する新しいよくある質問セクション

  VMware Carbon Black Managed Detection and Response に関する新しいよくある質問セクションが利用可能です。VMware Carbon Black Cloud ユーザー ガイドのManaged Detection and Response に関するよくある質問を表示できます。

  このセクションでは、Carbon Black Managed Detection and Response のお客様からのよくある質問に回答します。

  • 最もよくある質問

  • 製品およびサービス レベルの目標に関するよくある質問

  • 評価に関するよくある質問

  • アナリスト チームに関するよくある質問

  • 通信に関するよくある質問

  • 構成に関するよくある質問

  • 報告に関するよくある質問

  • 一般的なよくある質問

アラート詳細パネル

• E-EDR ユーザーのアノマリ分類機能

  アノマリ分類機能は、関連する可能性が最も高いアラートを検出して自動的に識別します。

  この機能は、アラートを次の 3 つのカテゴリにフィルタリングします。

  • アノマリではない

  • ベースラインの削除

  • アノマリ

  お客様は [アラートの詳細] ペインを使用して、アノマリ アラートに対して 真陽性 または 誤検出 アラートの判定を下します。

• [アラートの詳細] サイド パネルの新しいセクション

  ルールまたはポリシー、観測、MITRE ATT&CK に関する情報など、アラートをトリガした原因を説明する新しいセクション。

[観測] 画面

• [観測] 画面への更新

  [観測] 画面の新しい更新には次が含まれます。

  • 修正された詳細のサイド パネル。

  • 新しい構成可能な列（リモート IP アドレス、ローカル IP アドレス、プロセス ハッシュ、ポート）。

  • 新しいフィードバック フォームは、新しいエクスペリエンスをオンにするトグルの横にある情報アイコンから使用できます。

コンテナ

• CNS-2324: インターフェイスを切り離す時にネットワーク トレーサの eBPF モジュールを閉じない問題を修正した

• CNS-2105: 「health_reports」API 検索の問題を修正した

  「:」文字を含めると、「health_reports」API 検索が予想どおりに動作しない問題を修正しました。

CIS ベンチマーク

• CIS ベンチマークの未評価アセット ビュー

  CIS ベンチマークの最初のリリースで、アセットはコンプライアンス評価のステータスに基づいて、「準拠」、「非準拠」、または「除外」などの異なるタブで表示されました。最新リリースでは、「未評価」という新しいタブが追加され、評価されなかったアセットのコンプライアンス状態をユーザーが確認できるようになりました。

XDR

• Enterprise EDR の新しいアドオンである XDR のリリースのお知らせ

  XDR の観測機能の強化

  • アプリケーション プロトコル（TLS、HTTP など）に新しいフィルタ カテゴリが追加されました。

  • 新しいオプション列のアプリケーション プロトコルを、観測検索の結果表に追加しました。

  詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の[観測] 画面での XDR データの探索および調査 - 観測を参照してください。

  メモ: XDR には、Carbon Black Cloud Windows センサー 3.9.1 MR1 以降が必要です。

• 追加の検索可能な netconn フィールド

  netconn_application_protocol、netconn_bytes_received、netconn_bytes_sent、netconn_first_packet_timestamp、netconn_ja3_local_fingerprint、netconn_ja3_local_fingerprint_fields、netconn_ja3_remote_fingerprint、netconn_ja3_remote_fingerprint_fields、netconn_last_packet_timestamp、netconn_remote_device_id、netconn_remote_device_name、netconn_request_headers、netconn_request_method、netconn_request_url、netconn_response_headers、netconn_response_status_code、netconn_server_name_indication、netconn_tls_certificate_issuer_name、netconn_tls_certificate_subject_name、netconn_tls_certificate_subject_not_valid_after、netconn_tls_certificate_subject_not_valid_before、netconn_tls_version、triggered_alert_id

  詳細については、『製品内検索ガイド』を参照してください。

• プロセス解析の機能強化

  NetConn イベント用に新たに設計された「expando」。各イベントで使用可能なすべての netconn メタデータを使用できるようにします。

  • アプリケーション プロトコルが「HTTP」または「TLS」のアプリケーション レイヤーの詳細が含まれます。

  • 利用可能な場合は MITRE 戦略および/または技術が含まれます。

  詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の[プロセス解析] 画面での XDR データの探索を参照してください。

• [アラート] 画面の機能強化

  VMware Carbon Black XDR のユーザーは、Carbon Black Cloud の [アラート] 画面をアップグレードする新しいアラート エクスペリエンスのプレビューを利用できるようになりました。

  VMware Carbon Black XDR のユーザーは、XDR microIDS によって生成された IDS アラートを表示し、観測タイプと互換性のある「アラート タイプ」カテゴリでラベル付けされたアラートを確認できます。

  詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の[アラート] 画面での XDR データの探索を参照してください。

Identity Intelligence

• [調査] 画面の新しい [認証イベント] タブによる Enterprise EDR の Identity Intelligence 機能の導入

  Identity Intelligence では、エンド ユーザーとその認証アクティビティに対するさらなる可視化を導入します。有効にすると、Enterprise EDR は、[調査] 画面の新しい [認証イベント] タブで報告されるさまざまなタイプの Windows 認証イベントを収集します。ユーザーは、Windows 認証イベントを通して、アノマリな認証動作を検索してフィルタリングし、認証アクティビティとプロセス アクティビティを関連付けることができます。

  認証イベントの収集はデフォルトで無効になっていますが、ポリシーごとに有効にできます。

  メモ: 認証イベントには、Carbon Black Cloud Windows センサー 3.9.1 MR1 以降が必要です。

  詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の調査 - 認証イベントを参照してください。

• 新しい認証イベントの検索フィールド

  新しい認証イベントの検索フィールドには以下が含まれます。

  auth_cleartext_credentials_logon、auth_daemon_logon、auth_domain_name、auth_elevated_token_logon、auth_event_action、auth_failed_logon_count、auth_failure_status、auth_failure_sub_status、auth_interactive_logon、auth_logon_id、auth_logon_type、auth_privileges、auth_remote_device、auth_remote_ipv4、auth_remote_logon、auth_remote_port、auth_restricted_admin_logon、auth_auth_user_id、auth_auth_user_principal_name、auth_username、auth_virtual_account_logon、windows_event_id

  メモ: 詳細については、「検索ガイド」を参照してください。

• 認証イベントの結果をフィルタリング

  ユーザーは、次の方法で認証イベントの結果をフィルタリングできます。

  • Windows イベント ID

  • ユーザー名

  • ユーザー ID

  • ログイン タイプ

  • ログイン ID

  • ドメイン

  • リモート デバイス

  • リモート IP アドレス

  • ポート

  • 権限

  • インタラクティブ ログイン

  • リモート ログイン

  • プロセス

  • デバイス

  • ポリシー

  • 親 (親プロセス)

• 認証イベントの結果のグループ化

  次の 1 つ以上の基準を使用して、認証イベントの結果をグループ化します。

  • Windows イベント ID

  • ユーザー名

  • デバイス

  • リモート IP アドレス

  • 時間（1 分、10 分、1 時間、1 日）

• [認証イベント] タブのエクスポート機能

  [認証イベント] タブにエクスポート機能が導入されました。[調査] 画面からプロセス結果をエクスポートする方法と同様に、ユーザーは [認証イベント] タブからプロセス イベントの結果をエクスポートできるようになりました。

  新しい [エクスポート] ボタン:

  • 一度に最大 10,000 件の認証イベント結果をエクスポートします。

  • 認証イベント結果を CSV 形式でエクスポートします。

• [イベントの詳細] ペイン

  [イベントの詳細] ペインで、各認証イベントに関する広範囲にわたる詳細を表示します。

  [イベントの詳細] ペインから新しい検索にピボットします。

  • 単一属性ピボットのハイパーリンクされた値をクリックします。

    • Windows イベント ID

    • ユーザー名

    • ログイン ID

    • CMD

    • 製品

    • 発行者

    • ポリシー

  • 複数属性ピボットの [調査] ドロップダウン メニューを使用します。

    • ユーザー名とデバイス

    • デバイスとリモート IP アドレス: イベントにリモート IP アドレスの値が含まれている場合

    • ユーザー名と Windows イベント ID

アノマリ分類

• Enterprise EDR でのアノマリ分類機能の導入

  機械学習モデルの助けを借りて、アノマリ分類機能を使用すると、ユーザーはノイズを減らし、関連するウォッチリスト アラートを表面化することができます。機械学習システムは、ウォッチリスト アラートをアノマリ、アノマリではない、または分類されないとして分類し、アナリストがアノマリ アラートに集中して迅速に対応できるようにします。

  アノマリ分類により、セキュリティ アナリストのワークロードを削減しながら、脅威検出の精度と速度が向上します。さらに、アナリストはアラートを真陽性または偽陽性としてマークすることで、機械学習システムのトレーニングに役立つ決定フィードバックを提供できます。決定フィードバックを提供することで、時間の経過とともにアラート分類の精度が向上します。

  アノマリ分類は次の機能を備えています。

  • アノマリ アラートの新しいアラート インジケータ。

  • ユーザーは、[アラート] 画面でアノマリ分類タイプ別にアラートをフィルタリングできます。

    • アノマリ

    • アノマリではありません

    • 分類されていません

  メモ: この機能は、Carbon Black Advanced Threats および AMSI Threat Intelligence ウォッチリストをサポートします。アノマリ分類は現在、次のお客様のみが使用できます。

  • XDR をお持ちのお客様。

  • 米国リージョンのお客様。

  詳細については、『VMware Carbon Black Cloud ユーザー ガイド』のアノマリ分類を参照してください。

[新しい観測] タブ

• [調査] 画面への [観測] タブの導入

  [調査] 画面でオプションの [観測] タブ エクスペリエンスが提供されるようになりました。これは、[強化されたイベント] タブへのオプトイン アップグレードです。

  • [観測] タブは、XDR サブスクリプションを追加した Enterprise EDR 組織で使用できます。

  • [観測] タブは、Endpoint Standard 組織のプレビュー モードでオプトイン機能として使用できます。新しい調査エクスペリエンス トグルを使用して、[観測] タブをプレビューします。

  • 強化されたイベントのデータは、[観測] タブで使用できます。

  • [強化されたイベント] タブの表示を選択すると、フィードバック プロンプトが表示されます。

  • 詳細については、こちらの Carbon Black コミュニティの記事 (https://community.carbonblack.com/t5/Endpoint-Standard-Discussions/Introducing-Observations-to-the-CBC-Investigate-Page/m-p/117302) をご覧ください。

  メモ: 一部の観測では、試験的なカテゴリ名が表示されることがあります。監測タイプ名は 2023 年 2 月に確定されており、それ以降に生成されたすべてのデータに正しいラベルが付けられています。

  • 安全イベントはコンテキスト アクティビティになりました

  • UNKNOWN は CB 分析になりました

  詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の調査 - 観測を参照してください。

• 新しいフィルタ カテゴリ

  • タイプ（観測タイプ）

  • 攻撃戦略

  • 攻撃技術

  メモ: [観測] タブの イベント タイプ カテゴリは、[強化されたイベント] タブの タイプ カテゴリの新しい名前です。

• ヒストグラム

  ヒストグラム機能を使って、次のことを行うことができます。

  • 選択した期間における検索結果の一致頻度を可視化します。

  • 1 つ以上の時間間隔 (バー) を選択して、対象の時間範囲のアクティビティまで掘り下げます。

  • [戻る] ボタンを使用して、以前の時間範囲の選択に戻ります。

  • [非表示/表示] ボタンを使用してヒストグラムを非表示にします。

• グループ別ビュー

  グループ別ビューでは、検索結果を次の複数のグループ分けカテゴリで要約できます。

  • 観測タイプ

  • デバイス

  • ユーザー名

  • リモート IP アドレス

  • ローカル IP アドレス

  • ATT&CK 戦略

• MITRE ATT&CK 戦略と技術

  MITRE ATT&CK 戦略と技術が [観測] タブに列として表示され、右側の [観測の詳細] ペインに表示されるようになりました。

  • すべてが MITRE ATT&CK v10 の標準化された技術と戦略にマッピングされています

  • MITRE 戦略または技術が使用可能な場合、一致する mitre_ プレフィックス付きの TTP が右側の [調査] ペインに非表示になります。

  メモ: コンテキスト アクティビティや侵入検知システムなど、すべての観測タイプが常に MITRE 戦略と技術で計測されるわけではありません。

• 観測の検索結果テーブルの新しいオプション列

  観測の検索結果テーブルで使用可能な新しいオプション列には、以下が含まれます。

  • ATT&CK 戦略

  • 方向

  • ローカル IP アドレス

  • OS

  • ポリシー

  • リモート IP アドレス

• 強化された netconn ペイン

  右側の [観測] ペインの強化された netconn ペインには、netconn の発信元の方向が視覚的に表示されます。

[調査] 画面

• [調査] 画面の機能強化

  [調査] 画面には、次の新機能が含まれています。

  • [調査] 画面で検索結果を受け取った後、[調査] 画面とのその後のすべてのやり取りでは、フィルタのクリックやヒストグラムでのクリックまたはクリックアンドドラッグなど、ユーザーに代わって検索要求が自動的に開始されます。

  • [調査] 画面にアラート ID が表示されている場合、[アラート] 画面への このイベントのすべてのアラートを表示 リンクが表示されます。複数のアラートが関連付けられている場合だけでなく、1 つのアラートしかない場合にリンクが表示されるようになりました。

  • [プロセス] タブと [観測] タブの両方の新しい検索可能なフィールド:

    • attack_tactic、attack_technique、attack_tid、netconn_actions、netconn_community_id、observation_description、observation_id、observation_type、rule_id

    • [プロセス解析] 画面では、一部のフィールドも検索できます。

[アラートのトリアージ] 画面

• [アラートのトリアージ] 画面の機能強化

  • [調査] 画面の [観測] タブの [新しい調査エクスペリエンス] トグルと連携して、[観測] ビューにオプトインしているカスタマーの [強化されたイベント] ではなく、観測データを表示します。

  • 個々の 観測 を拡張するときに使用可能な詳細なメタデータの組織を強化します。

新しい API

• 新しく利用可能になった API は、観測、脅威メタデータ、認証イベントです。

  詳細については、CBC プラットフォーム APIを参照してください。

コンテナ

• コンテナ

  • データプレーンチャートがよりカスタマイズしやすくなりました

  • ワークロード リスクのリスク ウィジェットを導入しました

  • [クラスタ] 画面が再設計されました

Managed Detection and Response

• Managed Detection and Response: 日次サマリ レポートの機能強化

  Carbon Black は、Managed Detection and Response によって確認されたアラートに関する詳細をユーザーに提供しています。

  • アラートを最も多く作成しているデバイスをより簡単に特定できるように、「可能性の低い脅威」セクションの名前を「デバイス別の可能性の低い脅威」に変更しました。

  • 最初の 100 件の可能性の低い脅威のリストを提供する「アラート別の可能性の低い脅威」という新しいセクションを追加しました。

  • 一般的なフォーマットの改善

プロセス解析

• [プロセス解析] 画面の機能強化

  [プロセス解析] 画面では、次の機能強化が利用できます。

  • 新しい検索可能なフィールド: attack_tactic、attack_technique、attack_tid、netconn_actions、netconn_community_id、observation_description、observation_id、observation_type、rule_id

  • 新しいフィルタ カテゴリ:

    • 攻撃戦略

    • 攻撃技術

• [プロセス解析] 画面にエクスポート機能が追加されました

  エクスポート機能を [プロセス解析] 画面に導入しました。[調査] 画面からプロセス 結果をエクスポートする方法と同様に、ユーザーは [プロセス解析] 画面からプロセス イベント結果をエクスポートできるようになりました。

  新しい [エクスポート] ボタン:

  • 一度に最大 10,000 件のプロセス イベント結果をエクスポートします。

  • プロセス イベント結果を CSV 形式でエクスポートします。

すべて

• DSER-42944: テナント組織の CSR 監査ログを公開するアプリケーション サービス

• DSER-43728: センサーは隔離されませんでした

コンテナ

• CNS-600: カスタム ルールのスキャン中に発生する CLI の欠落違反を修正ました

• CNS-1908: Syft のバージョンを 0.74.0 に更新しました

• CNS-632: ScanFailed Model が CLI バージョンを解凍しないため、クラスタ スキャンが停止しない問題を修正しました

Endpoint Standard

• DSER-38213: マルウェアの削除に失敗しました。デバイスが見つかりません

すべて

• Microsoft Azure Active Directory は、ユーザー認証およびシングル サインオン (SSO) で使用するための SAML ID プロバイダとして Carbon Black Cloud で正式にサポートされています。

  Microsoft Azure Active Directory で SAML を有効にする方法の詳細については、次を参照してください。Microsoft Azure Active Directory (vmware.com) との SAML 統合を有効にする

ワークロード

• VMware Carbon Black Cloud Workload 製品に Center for Internet Security (CIS) ベンチマークが含まれるようになりました

  VMware Carbon Black Cloud Workload 製品に、CIS によって公開された業界標準ベンチマークに対する組織ワークロード アセットのコンプライアンスを測定および報告するのに役立つように、セキュリティ強化に基づく Center for Internet Security (CIS) ベンチマークが含まれるようになりましたが。標準ベンチマークをキュレートすることで、組織は、重要な CIS レベル 1 の推奨事項に対するコンプライアンスを測定し、セキュリティ体制を向上させることができます。インフラストラクチャ管理者は、非準拠のアセット調査して修正したり、今後のコンプライアンス測定から除外したりできます。最後に、セキュリティ アナリストは、リリース 1 で組織の Windows サーバ アセットのコンプライアンスについて報告できるようになります。

  この機能は、Windows センサー 3.9 で使用でき、現在は次の Windows フレーバーをサポートしています。

  • Windows server 2012、Windows Server 2012 R2、Windows server 2016、Windows server 2019 and Windows server 2022

  • この機能をすべてのワークロード カスタマが使用できるようにします。既存のユーザーのオンボーディングは段階的に行います。

  CIS ベンチマークに関する詳細については、以下を参照してください。CIS ベンチマーク (vmware.com)

ユーザー インターフェイス

• CNS-146: ポリシーでルール選択の表示を追加しました

• CNS-1760: ビルド フェーズ範囲の使用に関する問題を修正しました

Kubernetes イベント

• CNS-1795: Kubernetes イベントにワークロードの詳細へのリンクを追加しました

Endpoint Standard

• コア防止ポリシーの構成

  2020 年後半以降、Carbon Black Threat Analysis Unit (TAU) は、3.6 以降の Windows センサーに対して、忠実度の高い防止ルールを作成して公開しています。これらのルールは、ユーザーがポリシー構成を変更する必要なく、さまざまなタイプの最新の、影響の大きい攻撃からユーザーを保護します。

  これらの予防策の忠実度の高さと低い誤検出率にもかかわらず、ユーザーには特定の動作を実行し、誤検出をトリガするビジネス クリティカルな資産がある場合があることを認識しています。このリリースでは、ポリシー内で必要に応じて、TAU 公開防止カテゴリをアラートのみに設定する新しい構成オプションをユーザーに提供しています。[コア防止] ドロップダウンを展開すると、 アラート とアラートおよびブロックのオプションを持つ 6 つのルール構成* があります。

  
  

  ここに表示されるカテゴリの詳細については、『VMware Carbon Black Cloud ユーザー ガイド』のコア防止を参照してください。

  各カテゴリを展開すると、コア防止カテゴリをアクティブにするかどうかを選択できます。

  
  

  これらの構成を定期的に調整する必要はありませんが、修復不可能な誤検出が発生した場合に役立つよう、ここに記載しています。

  コア防止アラートのルール ルックアップ

  コア防止ルールが生成したアラートを受け取った場合は、[アラート] 画面からアラートの原因となったコア防止カテゴリを直接確認できます。右側のペインで、新しいルール フィールドに、アラートの原因となるカテゴリが通知されます。

  
  

  リンクをクリックすると、適切なルール構成が選択された [ポリシー] 画面に直接移動します。この場合、防御回避がアラートの原因でした。

  *ルール構成：ルール構成は、[ポリシー] 画面内の設定の一種であり、ユーザーは Carbon Black で定義されたルールセットを調整できます。変更には、構成が複数のオペレーティング システムに適用される場合に、オペレーティング システムごとに「アラートのみ」と「ブロックおよびアラート」の切り替えが含まれる場合があります。今後のリリースでは、ルール構成でプロセスの除外やその他のタイプのユーザー変更がサポートされます。

Managed Detection & Response

• Managed Detection (MD) と Managed Detection & Response (MDR) の日次サマリの更新

  Managed Detection (MD) と Managed Detection & Response (MDR) の日次サマリの更新によって、過去 1 日の活動に関するより良いコンテキストが提供され、大きなレポートが受信箱に届くように信頼性が向上されました。注：

  • 以前に誤って「未確認」として分類された特定のアラートは、「脅威の可能性が低い」として正しく分類されます。

  • 可能性の低い脅威はデバイス別にグループ化されるようになりました。

  • 説明を更新し、購入した製品（Managed Detection と Managed Detection & Response）と、MD/R アナリスト チームが確認する CB 分析アラートを明確にしました。

  注：

  [設定] > [Managed Detection] で Cabron Black Cloud コンソールからの E メールで日次サマリを受信することを選択できます。 

Container Essentials

• コンテナ イメージでの既知のマルウェア検出

  Carbon Black コンテナのイメージ ファイルのレピュテーションとマルウェア検出を使用して、コンテナ内のすべての実行可能ファイルをスキャンし、悪意のあるファイルとマルウェアを検出できるようになりました。脆弱性や Kubernetes ワークロードの状態と同様に、ユーザーは CI/CD 統合を通じて、実行時およびビルド段階でイメージをスキャンしてマルウェアを検出できるようになりました。

  cbctl を使用して、ビルド段階でコンテナをスキャンし、疑わしいファイルまたはバンド化されたファイルを含むコンテナを検出し、SDLC の早期にリスク コンテナをブロックできます。 

  新しいファイル レピュテーション ウィジェットを使用すると、疑わしいファイルで実行されているイメージの数と、レピュテーション別の分布をよりよく理解できます。

  
  

  コンテナ イメージ名の横には、疑わしいファイルまたは重要なファイルを含む実行しているイメージの新しいマルウェア バッジがあります。疑わしいファイルまたは本当に悪意のあるファイルのリストがイメージ情報画面に追加され、ユーザーの注意を最も危険なフィールドに集中させるようにします。

  
  

  マルウェアの視覚的な表示が [レイヤー] 画面に含まれるようになり、マルウェアを導入したレイヤーやコマンドを容易に特定し、解決しやすくなりました。

  
  

• Carbon Black Cloud コンテナで Kubernetes バージョン 1.26 がサポートされるようになった

Carbon Black Cloud - すべて

• CBCUI-2293: AWS の URL を更新した

  [設定] > [AWS アカウント] 画面の URL を /settings/public-cloud から /settings/public-cloud/aws に更新しました。

Container Essentials

• CNS-519: 既知のマルウェアを考慮するようにリスク アナライザを更新した

• CNS-1064: [CB 脆弱性] 画面で、リスク スコアに v3 ではなく CVSS v2 が表示されない

• CNS-1496: [概要] 画面から重要度フィルタを削除した

• CNS-1511: マップ/接続が過去の 24 時間から実際の/正しい 2 時間までのテキストを修正した

• CNS-1583: クラスタのセットアップ/編集の間違った成功メッセージを削除した

• CNS-1645: ファイル レピュテーションに必要な RBAC を追加した