集約されたアラートの表示と管理
管理者ロールに、[アラート]ビューを使用するために必要な権限があることを確認します。[アラートの表示]権限では、アラートビューへの読み取り専用アクセスが提供されます。このビューでアラートグループや個々のアラートを変更するには、[アラートの編集]および[アラートの削除]権限が必要です。[アラート]ビューを使用して、
CylancePROTECT Desktop
脅威アラートからグローバルセーフリストまたはグローバル隔離リストにファイルを追加したり、これらのリストからファイルを削除したりするには、関連するグローバルリスト権限がロールに必要です。詳細については、セットアップガイドで「管理者の設定」を参照してください。- 管理コンソールのメニューバーで[アラート]をクリックします。表示する列を選択するには、右にスクロールし、 をクリックします。
- 次の操作のいずれかを実行します。タスク手順アラートグループのフィルターとソート
- 列の をクリックしてフィルター条件を入力または選択します。次のいずれかを行うことができます。
- 複数のフィルター条件を一度に適用します。フィルターを削除するには、そのフィルターの x をクリックします。
- 分類、サブ分類、説明、または重要なインジケータでフィルタリングする場合は、次のいずれかを実行します。
- 完全に一致するものを検索するには、 >[次の値に等しい]をクリックします。一致を表示する値を入力します。最大 5 件の一致をクリックしてフィルタリングリストに追加し、[適用]をクリックします。
- 指定した値を含む一致を検索するには、 、>[含む]をクリックします。1 つまたは複数の値を入力します(値を追加するには、 をクリックします)。[適用]をクリックします。
結果を表示するときに、画面上部に表示されているフィルターをクリックして、フィルター条件を追加または削除できます。 - [カウント]でフィルタリングする場合は、追加オプションの をクリックします([次の値より大きい]、[次の値より小さい]など)。
- [製品]でフィルタリングすると、結果を特定のCylance Endpoint Securityサービスに絞り込むことができます。
- [検出時刻]でフィルタリングすると、結果を特定の日時範囲に絞り込むことができます。
- アラートグループを列の昇順または降順に並べ替えるには、列の名前をクリックします(該当する場合)。
アラートグループの重要なインジケータの詳細の表示、および重要なインジケータのタイプまたは値でのアラートグループのフィルタリング- 重要なインジケータアイコンにマウスポインタを合わせると、オブジェクトまたはイベントのタイプが表示されます。アイコンをクリックすると、詳細が表示されます。
- 必要に応じて、切り捨てられた文字列値のテキスト全体を表示するには、その上にマウスポインタを合わせ、 をクリックします。
- 必要に応じて、値をコピーするには、その上にマウスポインタを合わせ、 をクリックします。
- アラートグループを重要なインジケータでフィルタリングするには、その上にマウスポインタを合わせ、 をクリックします。
アラートグループおよび個々のアラートの詳細の表示- アラートグループをクリックします。
- 左ペインで下にスクロールして、インスティゲーティングとターゲットオブジェクト間の関係を表示します。このビューには、個々のイベントに関連する一連の重要なインジケータ(ファイル、ユーザー、実行可能ファイル、プロセスなど)が表示されます。
- 左ペインで下にスクロールして、インスティゲーティングとターゲットオブジェクト間の関係を表示します。このビューには、個々のイベントに関連する一連の重要なインジケータ(ファイル、ユーザー、実行可能ファイル、プロセスなど)が表示されます。たとえば、子プロセスのインスティゲーティングプロセスである親プロセスオブジェクトまたは実行可能ファイルが表示される場合があります。同じレベルのイベントまたはオブジェクトは、同じ親の下の兄弟と見なされます。必要に応じて、値の上にマウスポインタを合わせ、 をクリックしてテキスト文字列全体を表示したり、 をクリックして値をコピーしたりできます。プロセスアーチファクトがある場合は、 をクリックしてCylance Assistantによって解析できます。詳細については、「AI ベースの Cylance Assistant によるアラートの調査」を参照してください。
- 個々のデバイスアラートに対して、次のいずれかを行います。
- アラート情報をソートおよびフィルタリングします。
- アラートのステータスを変更します。「アラートのステータス変更」を参照してください。
- アラートをユーザーに割り当てます。
- アラートのラベルを追加または変更します。
- 個々のアラートの詳細パネルを開くには、アラートをクリックします。次の操作のいずれかを実行します。
- 該当する場合は、[検出の詳細]をクリックすると、コンソールの他の領域(CylanceOPTICS の検出ビューなど)の詳細やアクションを表示できます。[検出の詳細]リンクは、CylancePROTECT Desktop脅威アラートの場合は 60 日間、その他のタイプのアラートの場合は 30 日間有効です。
- アラートに関連するアーチファクトを展開して詳細を確認し、インスティゲーティングとターゲットオブジェクトおよびイベントの関係を表示します。検出ルールに関連するすべてのオブジェクトが、アーチファクトビューに含まれます。必要に応じて、値の上にマウスポインタを合わせ、 をクリックしてテキスト文字列全体を表示したり、 をクリックして値をコピーしたりできます。プロセスアーチファクトがある場合は、 をクリックしてCylance Assistantによって解析できます。詳細については、「AI ベースの Cylance Assistant によるアラートの調査」を参照してください。
CylanceMDRサポートの要請この機能は、CylanceMDRオンデマンドサブスクリプションでのみ使用できます。疑わしいと思われるアラートを確認し、専門家に脅威を分析してもらいたい場合は、CylanceMDRアナリストにオンデマンドで支援を要請できます。このアラートは、調査のためアナリストにエスカレートされます。CylanceMDR(CylanceGUARD)ポータルを使用して、エスカレートされたアラートについて、エスカレーション画面からアナリストと連絡を取ることができます。たとえば、アラートに関する追加の詳細を求めることができます。- CylancePROTECT Desktop脅威アラートを含むアラートグループをクリックします。
- 右ペインで、[CylanceMDR サポート]ボタンをクリックします。
- [サポートを要請]をクリックして、アラートをアナリストにエスカレートすることを確認します。
- 要請については、CylanceMDR(CylanceGUARD)ポータルから追跡します。CylanceMDR関連の資料を参照してください。
24x7 の脅威監視をご希望の場合は、CylanceMDRStandard サブスクリプションまたは Advanced サブスクリプションをご検討ください。詳細については、CylanceMDRの概要を参照してください。CylancePROTECT Desktop脅威アラート:グローバルセーフリストまたはグローバル隔離リストにファイルを追加またはこれらのリストからファイルを削除します。- CylancePROTECT Desktop脅威アラートを含むアラートグループをクリックします。
- [アクション] > [グローバルリストを管理]をクリックします。脅威アラートに関連するファイルの SHA256 ハッシュが表示されます。ファイルがグローバルセーフリストまたはグローバル隔離リストにすでに存在する場合は、通知が表示されます。
- グローバルセーフリストまたはグローバル隔離リストにファイルを追加するか、これらのリストからファイルを削除する適切なアクションを選択します。ファイルがすでにグローバルセーフリストまたはグローバル隔離リストに存在する場合は、別のリストに移動できます。
- ファイルをグローバルセーフリストに追加する場合は、[カテゴリ]ドロップダウンリストで該当するカテゴリをクリックします。
- ファイルをリストに追加する場合は、理由を入力します。
- [保存]をクリックします。
該当するセーフリストまたは隔離リストに変更が適用されます。[アラート]ビューのアラートグループに変更はありません。アラートグループのステータス変更次の操作のいずれかを実行します。- アラートグループのステータスを変更するには、[ステータス]ドロップダウンリストで適切なステータスをクリックします。
- 複数のアラートグループのステータスを変更するには、アラートグループを選択し、[ステータスを変更]をクリックし、適切なステータスをクリックして、[適用]をクリックします。
「アラートのステータス変更」を参照してください。ユーザーへのアラートグループの割り当て次の操作のいずれかを実行します。- アラートグループをユーザーに割り当てるには、[担当者]列で + をクリックし、ユーザーを検索してクリックし、[割り当て]をクリックします。
- 複数のアラートグループをユーザーに割り当てるには、アラートグループを選択し、[アラートを割り当て]をクリックし、ユーザーを検索して選択し、[割り当て]をクリックします。
アラートグループのラベルの追加または変更アラートグループにカスタムラベルを追加して、短いメモやリマインダを設定したり、フィルター条件として使用したりすることができます。ラベルを表示するには、[ラベル]列を表示するように設定する必要があります。- 1 つまたは複数のアラートグループを選択します。
- [ラベルを変更]をクリックします。
- ラベルを入力して Enter キーを押すか、既存のラベルを検索して選択します。
- [適用]をクリックします。
ラベルを削除するには、ラベルをクリックし、x アイコンをクリックして、[適用]をクリックします。アラートデータのエクスポート次の操作のいずれかを実行します。- すべてのアラートグループの詳細をエクスポートするには、 をクリックします。ファイル名を指定し、[エクスポート]をクリックします。
- グループ内のすべてのアラートの詳細をエクスポートするには、アラートグループをクリックし、 をクリックします。ファイル名を指定し、[エクスポート]をクリックします。
アラートグループの削除- 1 つまたは複数のアラートグループを選択します。
- [削除]をクリックします。
- [削除]を再度クリックして確定します。
フィルター結果からのラートグループの削除- 適切な基準でアラートグループをフィルターします。
- 次の操作のいずれかを実行します。
- フィルター結果からすべてのアラートグループを削除するには、左上のチェックボックスをオンにして[すべて削除]をクリックします。[すべて削除]を再度クリックして確定します。
- フィルター結果から特定のアラートグループを削除するには、アラートグループを選択して[削除]をクリックします。[削除]を再度クリックして確定します。