Cylance Endpoint Security サービスにわたるアラートの管理
Cylance Endpoint Security
サービスにわたるアラートの管理[アラート]表示では、
Cylance Endpoint Security
サービスにわたって検出および関連付けられたアラートを包括的に確認でき、企業エコシステムで一般的な脅威パターンを識別および追跡し、アラートの収集をより効率的に解決することが、一層簡単になります。[アラート]表示により、それぞれが CylancePROTECT Desktop
や CylanceOPTICS
など特定のサービス専用になっている、コンソールのさまざまなセクションからのアラートを調査する必要がなくなります。[アラート]表示を使用して、環境でサポートされている Cylance Endpoint Security
サービスのいずれのアラートも確認、調査、および管理できます。サービス | [アラート]表示でサポートされる機能 |
---|---|
CylancePROTECT Mobile | CylancePROTECT Mobile アプリによって検出されたアラート。 |
CylanceOPTICS | デスクトップデバイス上の CylanceOPTICS エージェントによって検出されたアラート。 |
CylanceGATEWAY | |
CylanceAVERT | デスクトップデバイス上の CylanceAVERT エージェントからの窃盗イベント。 |
Okta コネクタ | BlackBerry Okta コネクタを使用した Okta ユーザーイベントテレメトリ。CylanceENDPOINT Pro ライセンスが必要です。 |
Mimecast コネクタ | BlackBerry Mimecast コネクタを使用した Mimecast 添付ファイル保護テレメトリ。CylanceENDPOINT Pro ライセンスが必要です。 |
最初の[アラート]表示は、優先度、アラート分類、設定された応答、および他の重要なアラート属性などの条件に基づいて類似したアラートをグループ化した概要です。条件の詳細については、「Cylance Endpoint Security がアラートをグループ化する方法」を参照してください。
アラートの自動化されたグループ化では、アラートの頻度と出現率の両方が反映され、アナリストに脅威の発生頻度および発生場所を明確に表示します。デフォルトでは、アラートグループが優先度の降順で並べ替えられて、関連するすべてのセキュリティテレメトリのトップダウン表示が提供されます。各グループには、グループに関連付けられている重要なインジケータアーチファクトのタイプ(ファイル、プロセス、メールなど)のアイコンが表示されます。重要なインジケータアイコンをクリックすると、重要なインジケータの属性を確認できます。必要に応じて、それらの値をコピーまたはフィルタリングできます。新しいアラートは、テレメトリソースから検出および処理されると、既存のグループまたは新しいグループに追加されます。
[アラート]表示では、単一検出アラートと複数検出アラートがサポートされています。アラート検出ルールでは、複数の検出を実行してからアラートを生成して[アラート]表示に表示することがあります。各検出は、イベント(ファイルが開かれた、レジストリキーが追加されたなど)を使用してモデル化されます。
アラートグループをクリックすると、次の情報にアクセスできます。
- そのグループに関連する検出の詳細と重要なインジケータの概要を示す[アラートの概要]タブ。
- [重要なインジケータ]タブには、グループ内の各アラートで同一の検出属性が表示されます。たとえば、重要なインジケータがファイルハッシュである場合、同じデバイスからものであるか、異なるデバイスからのものであるかに関係なく、各アラートで検出されたハッシュです。重要なインジケータは、親、子、および兄弟オブジェクトの間の関係を示すように視覚的に表示されます。複数検出アラートの場合、重要なインジケータは各イベントに含まれ、実行順に概要が示されます。
- グループ内の個々のアラートのリスト。個々のアラートをクリックすると、詳細情報を開くことができます。また、アラートに関連付けられていて、アイコンとして表示されるすべてのアーチファクトを表示することもできます。アーチファクトには、基礎となる検出エンジンによってキャプチャされたすべてのファセットが含まれています。重要なインジケータと同様に、これらのアーチファクトも、親、子、および兄弟オブジェクトの間の関係を示すように視覚的に表示されます。複数検出アラートの場合、重要なインジケータは各イベントに含まれ、実行順に概要が示されます。
グループ内のアラートのタイプによっては、管理アクションを実行することもできます。たとえば、
CylancePROTECT Desktop
脅威アラートの場合、グローバルセーフリストまたはグローバル隔離リストにファイルを追加したり、これらのリストからファイルを削除したりできます。