Cylance Endpoint Security がアラートをグループ化する方法 ナビゲーションをスキップする

Cylance Endpoint Security
がアラートをグループ化する方法

Cylance Endpoint Security
は、次の条件を使用して、さまざまなサービスからのアラートをグループ化します。これにより、プロセスが自動化されて、脅威ハンティングおよび解決アクティビティを、関連するアラートの論理的なグループ化にスコープ設定および最適化できます。グループ化ロジックは、
BlackBerry
によって構築および管理され、さまざまな統合されたサービスからのアラートを処理するように動的に設計されます。その結果が、頻度および出現率分析を自動化するゼロタッチ体験です。これにより、サイバーセキュリティへの取り組みのトリアージおよび優先順位付けが、より簡単になります。
新しいアラートは、次の条件がすべて満たされると、既存のアラートグループに追加されます。
  • アラートの優先度、分類、サブ分類、説明、重要なインジケータ、および応答がそのグループと一致する
  • アラートがそのグループ内の最新のアラートから 24 時間以内に発生する
  • アラートがそのグループ内の最古のアラートから 7 日間(168 時間)以内に検出される
これらの条件をすべて満たしてはいないアラートが検出されると、新しいアラートグループが作成されます。
アラート属性
説明
優先度
アラートの優先度は、問題の緊急度と、組織の環境への潜在的な影響に関連付けられ、アラートがグループ化される方法に組み込まれます。[アラート]表示では、テレメトリソースにわたって優先度が最高のアラートがグループ化されるため、最も重要なアラートを最初に表示および解決するのに役立ちます。
アラートの優先度を決定する要因は、サービスによって異なります。
  • CylancePROTECT Desktop
    脅威アラートについては、管理コンソールの[保護] > [脅威]でアラートの優先度が低くても、[アラート]表示では優先度が常に高になります。[アラート]表示でこの昇格した優先度にする目的は、マルウェア検出の緊急性を示すためです。
  • CylancePROTECT Mobile
    については、アラートは、管理コンソールおよび CylancePROTECT Mobile アプリに表示される重大度に対応する優先度値を使用します。
  • CylanceOPTICS
    アラートについては、CylanceOPTICS 検出ルールの設定によって優先度が決定されます。
  • CylanceGATEWAY
    アラートについては、優先度は、設定したネットワーク保護設定、または、
    CylanceGATEWAY
    によって高リスクレベルと判断された宛先のレピュテーションに基づいています。たとえば、
    CylanceGATEWAY
    は、次のシナリオでアラートを生成して[アラート]表示に表示する場合があります。
    • 宛先のレピュテーションの検出:
      • 有効にすると、設定したリスクレベルに基づいてアラートが生成されます。たとえば、リスクレベルを[中以上]に設定した場合、アラートは、リスクレベルが中および高のすべての検出について生成されます。
      • 有効にしないと、デフォルトでは、高リスクレベルであると判断されたアラートが生成されます。
    • 署名検出:
      • 有効にすると、アラートは、ブロックされた署名検出について生成され、高リスクレベルで表示されます。
      • 有効にしないと、
        CylanceGATEWAY
        はアラートを生成しません。
    • DNS トンネリングおよびゼロデイ検出については、アラートは、高リスクレベルの検出について生成されます。
  • CylanceAVERT
    アラートについては、[アラート]表示では優先度が常に高になります。
分類およびサブ分類
アラート分類およびアラートサブ分類は、基礎になっている検出タイプを識別し、ラベルを付けて、特定のサービスによって検出されたアラートをより適切に説明できる構造化されたアラートコンテンツを提供します。各サービスは、アラートの性質を明確にする分類およびサブ分類の特定のセットを定義します。
分類およびサブ分類データは、類似したアラートを識別およびグループ化するために使用されます。
アラートの分類およびサブ分類を決定する要因は、サービスによって異なります。
  • CylancePROTECT Desktop
    脅威アラートについては、分類およびサブ分類が CylancePROTECT Desktop 脅威アラートのファイル分類に対応します。
  • CylancePROTECT Mobile
    については、分類が全体的なアラートカテゴリ([デバイスセキュリティ]や[ネットワークの脅威]など)に対応し、サブ分類が管理コンソールおよびアプリで表示される特定のアラートタイプ([悪意のあるアプリ]、[サイドロードされたアプリ]、[安全ではない
    Wi-Fi
    ]など)に対応します。
  • CylanceOPTICS
    については、検出ルールには、アラートの分類およびサブ分類を定義する MITRE 戦術、テクニック、サブテクニックが含まれています。
  • CylanceGATEWAY
    については、分類がアラートの全体的なカテゴリ([ネットワークアクセス制御]など)に対応し、サブ分類が管理コンソールに表示される特定のアラートタイプ([レピュテーション]、[DNS トンネリング]、[署名検出]、[ゼロデイ検出]など)に対応します。
説明
アラートの説明は、アラートに関する短いセグメントの情報を提供する特性です。一致する説明を持つアラートは、グループ化される可能性が高くなります。
重要なインジケータ
アラートの重要なインジケータは、そのアラートに関連付けられているオブジェクトと、それらのオブジェクト固有の特性です。アグリゲーションプロセスでは、アラートの重要なインジケータを比較して、グループ化するかどうかが決定されます。一致する優先度、分類、説明、および応答があり、一定の時間内に発生した、共通の重要なインジケータを持つアラートは、グループ化されます。
アラートの重要なインジケータは、サービスによって異なります。
  • CylancePROTECT Desktop
    脅威アラートについては、重要なインジケータは SHA256 ハッシュです。
  • CylancePROTECT Mobile
    については、重要なインジケータは、特定のモバイルアラート固有の特性(サイドロードされたアプリのパッケージ名、安全ではない
    Wi-Fi
    ネットワークの SSID、サポートされていないデバイスのモデルなど)に対応します。
  • CylanceOPTICS
    については、重要なインジケータは、アラートに関連付けられている、一意に識別するアーチファクトのファセットです。たとえば、プロセスアーチファクトについては、重要なインジケータは、次のファセットです。SHA256 ハッシュ、ファイルパス、コマンドライン引数。これらのファセットは、他のアラートと比較できるプロセスアーチファクトタイプ固有の署名を確立します。アラートグループの重要なインジケータファセットは、グループ内の個々のアラートにわたって共通です。
  • CylanceGATEWAY
    については、重要なインジケータは[ネットワーク接続]と[DNS クエリ]です。
  • CylanceAVERT
    については、重要なインジケータは、アーチファクトタイプによって異なります。メールアラートアーチファクトについては、重要なインジケータは conversationID です。ブラウザおよびファイル窃盗アラートアーチファクトについては、重要なインジケータは UserName です。
応答
軽減アクションを実行するサービスについては、これは、検出に応じて実行するようにサービスを設定したアクションです。たとえば、
CylancePROTECT Desktop
脅威アラートについては、応答は次のいずれかになる可能性があります。放棄済み、隔離済み、危険、異常。
軽減アクションを実行しないサービスについては、統合されたサービスから、関連する情報を記録します。一致する応答を持つアラートは、グループ化される可能性が高くなります。
時刻
他のアラートに対するアラートの発生時間は、アラートがグループ化される方法に組み込まれます。アラートは、アラートの優先度、分類、サブ分類、説明、重要なインジケータ、および応答がそのグループと一致し、そのグループ内の最新のアラートから 24 時間以内に発生し、そのグループ内の最古のアラートから 7 日間(168 時間)以内に発生した場合、既存のグループに追加されます。アラートは、上記の条件に一致するが、グループ内の最新アラートから 24 時間以上経過して発生した場合、またはグループ内の最古のアラートから 7 日間以上経過して発生した場合、新しいグループに追加されます。
7 日間の枠により、アラートグループが固定された期間を持ち、無制限に大きくならないことが保証されます。