インシデントを確認する
エンドポイント検知と応答(EDR)により、ワークロード上の予防操作(またはマルウェア)と疑わしい検出の両方を含むインシデントリストが提供されます。インシデントリストでは、ワークロードに影響を及ぼしている攻撃や脅威(まだ軽減されていない脅威も含む)の概要をすばやく確認できます。
インシデントリストから、以下を簡単に判断できます。
- 組織のセキュリティ状況: どの程度のインシデントを調査する必要があるのか?
- もっとも重大なインシデントを把握し、その重大度に応じて調査の優先順位を決定する。
- どのインシデントが新規であるか、または進行中であるか。
パートナー管理者としてログインすると、各カスタマーの個別のインシデントビューにアクセスしなくても、すべてのカスタマーからのインシデントを統合した単一の画面ですべてのEDRインシデントを表示できます。追加の [カスタマー] 列が表示され、各インシデントが属するカスタマー名が含まれます。さらに、[概要] ダッシュボードに表示されるウィジェットには、すべての顧客にわたって集約されたメトリクスデータが表示されます。
インシデントリスト(下図を参照)には、Cyber Protectコンソールの [保護] メニューからアクセスできます。インシデントリストのインシデントを確認する方法については、緊急に対応する必要があるインシデントの優先順位付けを参照してください。インシデントが作成されるタイミングについては、「インシデントとは具体的にはどのようなものなのか?」を参照してください。
ワークロードでMDR(Managed Detection and Response)が有効になっている場合、追加のMDRチケット列が表示されます。この列には、MDRベンダーから提供されたチケット番号が表示されます。
インシデント通知を受け取るには、Cyber Protectコンソールが開いている必要があります。
インシデントとは具体的にはどのようなものなのか?
インシデント(またはセキュリティインシデント)は、少なくとも1つの予防ポイントまたは不審な検出ポイント(またはその組み合わせ)のコンテナと考えることができます。インシデントには、単一の攻撃に関するすべての関連イベントと検出内容が含まれています。セキュリティインシデントには、発生した事象をより深く理解するために、良性の事象が含まれている場合もあります。
これにより、攻撃イベントを1つのインシデントとしてまとめて表示し、攻撃者が行った論理的な手順を把握できます。また、攻撃の際の調査時間の短縮にもつながります。
EDRが保護計画で有効になっていれば、セキュリティインシデントは以下の場合に作成されます。
- 予防レイヤで何らかの処理が停止される:これらのインシデントは、保護計画の設定に従って、システムによって自動的にクローズされます。ただし、マルウェアが停止する前に、具体的に何が発生したかを調査することができます。例えば、ランサムウェアはファイルの暗号化を開始した時点で停止されますが、それ以前に資格情報を窃取したり、サービスをインストールしていたりする可能性があります。
- EDRにより不審なアクティビティが検出される:これらは、調査して修正すべき検出事項です。視認性が強化されたサイバーキルチェーン(詳細についてはサイバーキルチェーンでインシデントを調査する方法を参照)を確認することで、関連する修正操作を簡単に適用できます。