エンドポイント検出&対応(EDR) - 脅威イベントの理解

  • hC
  • EF

脅威イベントの定義

エンドポイント検出&対応(EDR)は、デバイス上のマルウェアまたは望ましくない可能性のあるプログラム(PUP)を特定すると、脅威イベントを作成します。これは、脅威が隔離される [ポスチャーの検出(Detect Posture)] または [ポスチャーの保護(Protect Posture)] のいずれかで発生します。各脅威イベントには、脅威の名前、分類、関連するプロセス、検出日、現在のステータスなどの詳細が含まれます。すべての脅威イベントは、Avet を使用して Blueprints にリンクされているデバイスの [脅威] ページで確認できます。さらに、これらのイベントは個々のデバイスレコードで表示できます。

脅威中心のテーブルビュー

脅威イベントはファイル検出の場合ハッシュ、振る舞い検出の場合検出ルールによって整理されるため、Macフリート全体での脅威の全体的な影響を簡単に評価できます。各グループには、各脅威に関する詳細な洞察を提供するサイドパネルが含まれています。

イベント情報

脅威中心のテーブルビューの各脅威イベントは、情報セキュリティチームが脅威を調査する際に役立つ重要な情報を提供します。

  • 脅威 ID - 検出された脅威の SHA-256 ハッシュ値が表示されます。

  • プロセス - 脅威の原因となっている最近検出されたプロセスを表示します。

  • 分類 - 脅威イベントの分類カテゴリを示します。

  • 検出日 - EDR が脅威を特定した日付を記録します。

  • デバイス - 脅威イベントの影響を受けるMacデバイスの総数が一覧表示されます。

  • 脅威の状態 - グループ化された脅威イベントのすべてのデバイスのすべての脅威状態 (検疫済みでない、検疫済み、解決済み、解放済み) の包括的なビューを提供します。

分類

Kandji は、脅威をマルウェア、望ましくない可能性のあるプログラム (PUP)、良性、不明の 4 つのカテゴリに分類します。

  • マルウェア - この用語は、デバイス、個人、または組織に害を及ぼすように設計された悪意のあるソフトウェアを指します。

  • 望ましくない可能性のあるプログラム(PUP) - これらは、デバイス上で望ましくない可能性のあるアプリケーションです。PUPは、多くの場合、高いシステムリソースを使用し、パフォーマンスに影響を与え、不要な広告を表示し、個人情報を収集します。マルウェアとは異なり、PUPは害を及ぼすことを意図しておらず、通常、バンドルされたパッケージに見られることが多い他のソフトウェアと一緒に誤ってインストールされます。

  • 良性 - この分類は、最初は悪意のあるファイルとしてフラグが付けられたが、後でさらに分析して悪意がないと判断されたファイル用です。良性な脅威イベントが発生した場合は、検出時または検疫時にアイテムが Avertライブラリアイテムブロックリストに含まれていたことが原因である可能性があります。

  • 不明 - このカテゴリは Kandji EDRが利用可能なデータに基づいて悪意のあるものか無害なものかを明確に分類できないファイルを対象としています。無害な脅威イベントが発生した場合は、検出時または検疫時にアイテムが Avertライブラリアイテムブロックリストに含まれていたことが原因である可能性があります。

ステータス

すべての脅威イベントには、ステータスが関連付けられます。脅威イベントには、次のようなさまざまなステータスがあります。

  • 検疫済み - 保護(Protect)ポスチャーで自動的に隔離された検出された脅威。

  • 検疫されていません - 検出(Detect)ポスチャーで隔離されなかった検出された脅威。

  • リリース済み - 最初は検疫されたが、後で解放され、元の場所に復元された脅威。

  • 解決済み - 最後に検出されたファイルパスに存在しなくなり、エージェントによって隔離されなかった脅威。

マルウェアとPUPの隔離は、Avertライブラリアイテムで設定されたポスチャーモードによって決定されます。環境内でポスチャーモードを設定する方法の詳細については、「 エンドポイント検出&対応(EDR) : Avertライブラリアイテム の設定」を参照してください。

脅威イベントのフィルタリング

脅威イベントをステータスに基づいてフィルタリングして、視覚化と修復を容易にすることができます。

  1. 脅威イベントを表示する検出日の範囲 を選択します。

  2. リストに表示する 脅威ステータス を選択します。1 つまたは複数を選択できます。

  3. [分類タイプ] を選択します。

  4. 完了したら、[ すべてクリア ] ボタンをクリックして、過去 30 日間のすべてのステータスを表示するデフォルトのビューに戻ります。

サイドパネル

脅威中心のテーブルビューには、グループ化されたイベントごとにサイドパネルがあり、脅威イベントの行をクリックして開くと、その特定の脅威に関する詳細情報にアクセスできます。サイドパネルには、次のような情報が含まれています。

  • 脅威に関連付けられている最新のファイル名

  • すべてのデバイスでグループ化された脅威イベントについてのすべての脅威ステータス (検疫されていない、検疫済み、解決済み、解放済み) のグローバル ビュー

  • すべてのデバイスで最初と最後の検出日

  • 脅威に関連して検出されたすべての一意のファイルパスに関する洞察

デバイスカード

サイドパネルのデバイスカードは、悪意のあるファイルが見つかったデバイスを表します。これらのカードには、次のような情報が表示されます。

  • デバイス名

  • シリアル番号

  • BlueprintLibrary Item

  • マルウェアとPUPポスチャーモード

  • アクション可能なイベント

  • 脅威イベントの詳細:

    • 脅威の状態 - デバイス上の脅威の現在の状態。

    • パス - 脅威が検出されたファイルパス。

    • ユーザー - 脅威が検出されたときにプロセスに関連付けられたユーザー。

    • 検出日 - EDRが脅威を特定した日付。

    • 検疫日 - EDR が脅威を検疫した日付。

    • 解決日 - Web アプリで脅威が解決済みとしてマークされた日付。

    • 解放日 - 脅威がデバイス上の検疫から解放された日付。

    • Application Bundle Path - アプリケーションバンドルへのパス。

サイドパネルでのデバイスの脅威イベントの表示

  1. 左側のナビゲーションバーで、[脅威]に移動します。

  2. 任意の脅威イベントをクリックして、サイドパネルを開きます。

  3. [ デバイス ] タブで、悪意のあるハッシュが検出されたすべてのデバイスのデバイスカードを表示します。任意のデバイスカードをクリックして展開し、関連する脅威イベントを表示します。

脅威のステータスの再確認(ファイル検出のみ)

マルウェアまたはPUPポスチャモードが検出に設定されている場合は、サイドパネルで脅威のステータスを手動で確認して、ファイルパスにまだ存在するかどうかを確認できます。脅威が存在しなくなった場合、そのステータスは「隔離されていない」から「解決済み」に更新されます。脅威がまだ存在する場合、そのステータスは変更されません。

  1. 左側のナビゲーションバーで、[脅威]に移動します。

  2. 任意の脅威イベントをクリックして、サイドパネルを開きます。

  3. 目的の デバイスカード をクリックして展開し、デバイスの脅威イベントを表示します。

  4. [ステータスを再確認] をクリックします。

脅威が最初に検出され、デバイスから削除されると、AvertライブラリアイテムのマルウェアまたはPUPポスチャーモードが保護モードに設定されている場合、そのステータスは隔離されていないから解決済みに変わります。この更新は、これらの設定を持つ新しいBlueprintがデバイスに適用された場合にも発生します。

脅威イベントの解放

情報セキュリティチームは、組織で使用されたセキュリティツールやアプリケーションなど、誤って検疫された特定のファイルやアプリケーションの脅威イベントを解放する必要がある場合があります。脅威イベントの解放には、関連付けられたAvertライブラリアイテムの許可リストにアイテムを追加する必要があります。

脅威イベントの解放アクションは、Avertライブラリアイテムに割り当てられたBlueprintsにのみ適用されます。

  1. 左側のナビゲーションバーで、[脅威]に移動します。

  2. 任意の脅威イベントをクリックして、サイドパネルを開きます。

  3. 目的の デバイスカード をクリックして展開し、デバイスの脅威イベントを表示します。

  4. [ 脅威の解放] をクリックします。

  5. アイテム名を入力します。

  6. 必要に応じて、脅威イベントが解放される理由を示す内部メモを入力します。

  7. 「RELEASE」と入力して脅威を解放します。

  8. 「追加してリリース 」をクリックして 、脅威を許可リストに追加し、脅威を解放します。

VirusTotal 検索の実行

VirusTotalは、ファイルやURLに関する詳細な分析と洞察を提供する強力なツールです。このウェブアプリには、VirusTotal内のハッシュを検索する便利な機能が含まれており、アプリを離れることなく、脅威イベントエントリから直接追加のコンテキスト情報にアクセスできます。

  1. 左側のナビゲーションバーで、[脅威]に移動します。

  2. 目的の脅威イベントの右端にある 省略記号 をクリックします。

  3. [VirusTotal 検索] をクリックして、VirusTotal でハッシュを検索します。

Kandji EDRは、VirusTotalが検出していない、または悪意がないと見なしている場合でも、特定のハッシュをマルウェアまたはPUPとして分類する場合があります。これは、 Kandji EDRが複数の脅威ソースを利用しているためです。

脅威イベントを CSV 形式でエクスポートする

Kandji API を使用するだけでなく、情報セキュリティチームと IT チームは、管理コンソールから直接脅威イベントのリストをエクスポートできます。脅威中心ビューのエクスポートアイコンは、現在のフィルター設定を適用し、各脅威イベントに関する詳細情報を別々の列に含む CSV ファイルを生成します。この機能は、メインの脅威モジュール ビューと [デバイス レコード] の [脅威] タブの両方で使用できます。

  1. 左側のナビゲーションバーで、[脅威]に移動します。

  2. [脅威イベント] リストビューの右端にある抽出アイコンをクリックします。CSV エクスポートファイルは自動的にダウンロードされます。

  1. 必要に応じて、エクスポートする個々の脅威イベントを選択します。

  2. ページの下部にある「CSV のエクスポート」をクリックして 、選択したアイテムをエクスポートします。