緊急に対応する必要があるインシデントの優先順位付け

Cyber Protectコンソールのインシデントリストは、コンソールの [保護] メニューからいつでもアクセスできます。インシデントリストでは、攻撃や脅威の概要を一目で確認できます。これにより注意が必要なインシデントの優先順位を判断できます。

ワークロードの安全性を確保するために、常に、進行中のインシデントや軽減操作が適用されていないインシデントを分析し、優先順位を付けます。

緊急の対応が必要なセキュリティインシデントを判別する方法

インシデントリストでは、リストアップされたインシデントを分析し、注意が必要なものに優先順位を付けることができます。次の操作を実行できます。

  • 現在軽減操作が適用されていないインシデントを表示:インシデントリストから、現在進行中の攻撃があるかどうかをすばやく把握できます。[脅威のステータス] 列で示されるように、軽減操作が適用されていないインシデントは、すぐに調査する必要があります(デフォルトでは、インシデントリストにはこれらのインシデントが表示されるようにフィルタがかけられています)。
  • インシデントのスコープと影響を把握する:新たに発生した攻撃や進行中の攻撃のフィルタリングを実行して、フィルタリング済みインシデントの重大度や業務への影響を把握します。

もっとも重要なインシデントの細分化リストを作成することで、インシデントを詳細に分析し、特定のインシデントや、攻撃者が目的を達成するために使用した技術をより深く理解することが可能になります。詳細については、インシデントの詳細を分析するを参照してください。

インシデントリストはデフォルトでは、[アップデート] 列に応じてソートされます。この列には、インシデント内で記録された新しい検出により、インシデントが最後にアップデートされた日付と時刻の詳細が記載されています。既存のインシデントの場合、以前にインシデントがクローズされていたとしても、いつでもアップデート可能です。要件に応じて、新たな攻撃や進行中の攻撃を表示するよう、リストにフィルタを適用することもできます(以下の手順を参照)。

インシデントにフィルタを適用するには

  1. インシデントリストの上部で、[フィルタ] をクリックして、表示されたインシデントのリストにフィルタを適用します。例えば、[作成済み] フィールドで開始日と終了日を選択すると、インシデントリストとウィジェットには、定義された期間中に作成された関連するインシデントが表示されます。

  2. 完了したら、[適用] をクリックします。

現在軽減操作が適用されていないインシデントを表示

[脅威のステータス] 列には、インシデントの現在の脅威ステータスが表示され、インシデントが軽減済み または未軽減のいずれであるかを確認できます。脅威ステータスはEDRによって自動的に定義されます。軽減操作が適用されていないインシデントは、できるだけ早く調査する必要があります。

表示されたインシデントリストは、フィルタを適用することでさらに絞り込むことができます。例えば、脅威のステータス特定の重大度レベルに従ってリストにフィルタを適用する場合は、関連するフィルタオプションを選択します。確認したいインシデントにフィルタを適用した後、インシデントの調査を実行できます(インシデントを調査するを参照)。

また、下図のような [脅威のステータス] ウィジェットで、現在の脅威ステータスを一目で把握できます。このウィジェットに表示されるデータは、適用済みのフィルタで絞り込まれていることに注意してください(インシデントにフィルタを適用するにはを参照)。

インシデントのスコープと影響を把握する

重大度攻撃情報陽性レベルの列を確認することで、インシデントのスコープと影響をすばやく理解することができます。前述のように、現在進行中のインシデントを判別した後、これらの追加列をフィルタリングして以下の操作を実行できます。

  • [重大度] 列で、どのインシデントがより重要であるかを確認します。インシデントの重大度は、重大のいずれかになります。
    • 重大:現在の環境では、重要なホストが危険にさらされる危険性があり、悪意のあるサイバーアクティビティが実行される深刻なリスクが存在します。
    • :現在の環境に甚大な被害を及ぼす危険性のある、悪意あるサイバーアクティビティが実行される深刻なリスクが存在します。
    • :悪意あるサイバーアクティビティのリスクが高まっています。

      • EDRアルゴリズムが重大度を判定する際には、ワークロードの種類だけでなく、攻撃の各ステップのスコープも考慮されます。例えば、資格情報の窃取に関連するステップを含むインシデントは、重大に設定されます。

  • [インシデントタイプ] 列でインシデントが作成された理由がわかります。インシデントタイプには、以下のいずれか1つ以上を含めることができます。
    • ランサムウェアが検出されました
    • マルウェアが検出されました
    • 不審なプロセスが検出されました
    • 悪意のあるプロセスが検出されました
    • 不審なURLがブロックされました
    • 悪意のあるURLがブロックされました
  • [攻撃情報] 列でどの攻撃手法が使われているかを判断し、攻撃に共通のテーマやパターンがあるかどうかを把握します。
  • インシデントが実際の悪意ある攻撃である可能性を確認します。[陽性レベル] の列には1~10のスコアが示されます(スコアが高いほど、実際の悪意ある攻撃の可能性が高くなります)。

早急な対応が必要なインシデントが見つかった場合、そのインシデントを調査できます(インシデントを調査するを参照)。

また、[重大度の履歴][タクティクス別の検出] ウィジェットを使用して、重大度と攻撃手法の概要をすばやく確認することもできます。

[タクティクス別の検出] ウィジェットには、使用されたさまざまな攻撃手法が表示されます。前回指定した時間範囲に増加している場合は緑色の数値で、減少している場合は赤色の数値で表示されます。このウィジェットでは、フィルタリングされたインシデントのすべての目的を集約して表示できるため、カスタマーへの影響をすばやく把握できます。