Administrator Guide
脅威
この章では、Advanced Threat Prevention をインストールした後に、企業環境で発生した脅威の特定と管理を行う方法についての詳
細を記載します。
● 脅威の特定
○ 脅威イベントの表示
○ Cylance スコアと脅威モデルの更新
○ 詳細な脅威データの表示
● 脅威の管理
○ 脅威データを CSV にエクスポート
○ グローバル隔離リストの管理
脅威の特定
電子メールおよびダッシュボードの通知
脅威保護および高度な脅威イベントに対して電子メール通知をセットアップした場合、Advanced Threat Prevention の電子メールで
イベントと脅威が管理者に通知されます。
管理コンソールのダッシュボード通知の概要には、Advanced Threat Prevention の脅威とイベントが脅威保護と高度な脅威イベント
の通知タイプで表示されます。
● 脅威保護タイプ - Advanced Threat Prevention からの脅威アラート。
● 高度な脅威イベントタイプ - Advanced Threat Prevention で検出されたイベント。イベントは必ずしも脅威であるとは限りませ
ん。
次の表で、脅威の名前、重大度、脅威の情報について詳しく説明します。
名前 重大度 詳細
ThreatFound 重大
Portable Executable(PE)がデバイスで特定されましたが、エンドポ
イントではブロックも隔離もされていません。システムに対するア
クティブな脅威です。
ThreatBlocked 警告
Portable Executable がデバイスで特定されましたが、実行はブロック
されています。この脅威は特に隔離されていません。自動隔離のた
めのポリシーが有効になっていないか、ファイルがローカルの
SYSTEM アカウントでは書き込めない場所(ネットワーク共有、取り
外された USB デバイスなど)にあるためと思われます。
ThreatTerminated 警告
Portable Executable(PE)がデバイスで特定され、アクティブに実行
されていることが検出されたため、プロセスが強制終了されました。
PE は別の場所で実行されていたため、ファイルの隔離は行われてい
ません。このエンドポイントと実行可能ファイルに関連する別のイ
ベントを探し、脅威が適切に封じ込まれていることを確認することを
お勧めします。
MemoryViolationBlocked 警告
実行可能ファイルまたはスクリプトが実行されようとしていました
が、メモリー保護またはスクリプト制御ポリシーに違反していました。
その後、実行可能ファイルまたはスクリプトの実行はブロックされま
した。これは通常、対応するメモリー保護またはスクリプト制御ポリ
シーで、ブロックするように設定されているためです。
4
14 脅威