• 検索結果がありません。

用語集

ドキュメント内 cbd-userguide.book (ページ 180-185)

A p p e n d i x G

Cb Defense 管理コンソー ル (Cb Defense

Management Console)

Cb Defense 管理コンソールを使用すると、センサー展開お よびデバイス登録ステータスのチェック、ポリシーとアラ ートの構成および適用、セキュリティ イベントのレビュー などを実⾏できます。“ 作業の開始 ” を参照してください。

ダッシュボード

(Dashboard)

Cb Defense にログインすると、ダッシュボードがホーム ページとして表示されます。ダッシュボードには、システ ムで実⾏中の処理のスナップショットが表示され、関心 のある項目にすばやく移動することができます。また、

Cb Defense が保護するデバイスで何が起きているかも表 示されます。“ ダッシュボード ” を参照してください。

(リソースの) 拒否

(Deny (resources))

ポリシー設定に従って、レピュテーションや⾏動に基づ きリソースを拒否するアクション。

デバイス ID (Device ID) インストール済みの各センサーに対応する⼀意の識別子。

同じデバイス上でセンサーをアンインストールして、再 インストールした場合は、同じデバイス名に対して複数 のデバイス ID が存在します。この場合、Cb Defense 管理 コンソールには、1 つのアクティブ デバイスと 1 つの登 録が取り消されたデバイスが表示されます。これらのデ バイスは、デバイス ID は異なりますが、同じデバイス名 を共有しています。

デバイス ユーザー

(Device user)

セ ン サ ー を イ ン ス ト ー ル ま た は 登 録 し た ユ ー ザ ー。

[Sensor Management (センサーの管理)] ページでは、

ユーザーと呼ばれます。[Investigate (調査)] ページの [Device (デバイス)] タブ、および展開されたイベント 詳細の [Email(E メール)] では [Sensor Installed by(セ ンサーのインストール ユーザー)] として表示されます。

エンドポイント

(Endpoint)

デバイスやホストとも呼ばれます。

イベント ID (Event ID) 各管理対象デバイスから記録された関心対象のイベン ト。イベントによっては、アラートに昇格されるものもあ ります。

インシデント ID

(Incident ID)

インシデント ID(アラート ID とも呼ばれる) は、アラート のフラグが設定されたイベントを指し、基となるイベント の動作およびデバイスに固有の属性に応じて決まります。

複数のイベント (イベント ID) がすべて同じインシデン ト ID を共有することがありますが、イベントにはインシ デント ID が 1 つだけ割り当てられるので、イベント ID あ たりのインシデント ID の数は 1 つのみです。インシデン ト ID は 8 文字の文字列で、[Investigate (調査)] ページ および [Alert Triage (アラートのトリアージ)] ページの イベントの詳細で確認できます。イベント ID は、アラー ト リスト ページで検索できます。アラート リスト ページ で [Investigate (調査)] ボタンをクリックすると、URL に イ ン シ デ ン ト ID が 表 示 さ れ ま す。「ス レ ッ ド ID

(Threat ID)」も参照してください。

語句 定義

[Investigate (調査)] ペ ージ (Investigate page)

[Investigate(調査)] ページでは、アラートを徹底的に調査 して分析できます。“ アラートの調査 ” を参照してくださ い。

Live Response Cb Defense センサー バージョン 3.0 以降が動作している エンドポイントが接続されている場合、Cb Defense Live Response は、そのエンドポイントに対するコマンド ラ イン インターフェイスを開きます。センサーには、Live Response が有効であるポリシーを割り当てる必要があ ります。Live Response を使用すると、リモートで調査を 実⾏し、継続中の攻撃を封じ込め、脅威を修復できま す。“Live Response の使用 ” を参照してください。

ローカル スキャン

(Local scanning)

Cb Defense センサーには、アプリケーションを実⾏する 前に静的ファイル分析を有効にするローカル スキャン機 能がオプションで含まれています。“[Local Scan Settings

(ローカル スキャン設定)] タブ ” を参照してください。

マルウェア (Malware) エンドポイント上で攻撃者のために悪意のあるアクション を実⾏することのみが目的であると認定されたファイル。

MD5 ハッシュ

(MD5 hash)

MD5 アルゴリズムは、128 ビットのハッシュ値を生成す るハッシュ関数です。

非マルウェア

(Non-malware)

不正な動作またはローカル ブラックリストにより阻止さ れた、⼀般にマルウェアとして認識されないプロセス。こ れ に は、レ ピ ュ テ ー シ ョ ン は 良 い が (PowerShell や Winword.exe ファイルなど) 、不正な動作をするケース が含まれます。

通知 (Notification) 新たに発⾒された脅威は、E メールや SIEM コネクターに よる通知など、さまざまなメカニズムを介して通知でき ます。“ 通知およびコネクター ” を参照してください。

オンプレミス / オフプレミス

(On-premises/Off-premises)

センサーがオンプレミスとオフプレミスのどちらに存在 するかの判断には、完全修飾ドメイン名 (FQDN) と IP アドレスという 2 つの条件が使用されます。

“ プレミスの定義 ” を参照してください。

ポリシー 防御動作を決定するポリシー ルールのグループ。各セン

サーは、1 つのポリシーに割り当てられます。“ ポリシー による攻撃からの防御 ” を参照してください。

潜在的なマルウェア

(Potential malware)

エンドポイントで悪意のあるアクションを実⾏する脅威 のあるソフトウェア。有益なアクションも悪意のあるア クションも実⾏できるファイル。

阻止 (Prevention) 悪意のあるコードや動作が発⾒された場合の実⾏内容を センサーに伝えるポリシー ルールによって、悪意のある 動作が阻止されます。“ ポリシーによる攻撃からの防御 ” を参照してください。

語句 定義

優先度スコア

(Priority score)

優先度スコアは、アラートの相対的重要度に基づいて優 先順位を付けたもので、[Attack Stages (攻撃段階)] パ ネルにおおまかにマッピングされます (表 3、「[Attack Stages (攻撃段階)]」 を参照)。

⼀般に、スコアが⾼いほど敵対者または攻撃がその目的 達成に近いことを示します。たとえば、特定のマルウェア の目的が永続性にある場合、アラートの優先度は⾼くな りません。その目的がユーザー データの暗号化、パスワ ードの盗み取り、システム ファイルへの損害などの場 合、このアラートの優先度は⾼くなります。

優先度スコアは、脅威レベル、脅威スコア、脅威優先度、

またはアラート優先度とも呼ばれます。

プロセス ユーザー

(Process user)

調査中のプロセスを実⾏したユーザー。これは、ログオン ユーザーまたはシステム ユーザーのいずれかです。

PUP 潜在的に迷惑なプログラム。PUP は、被害が最も少ない

ものでも煩わしい結果をもたらし (ポップアップ広告の 配信)、マルウェアの配信に利用されることもあります。

隔離

(Quarantine)

デバイスをネットワークの他の部分から隔離できます。

隔離されたデバイスは、Cb Defense バックエンドに対し てのみネットワーク アクセスが可能です。“ デバイスの隔 離 ” を参照してください。

レピュテーション

(Reputation)

レピュテーションは、オブジェクトに与えられた信頼また は不信頼のレベルです。Cb Defense ファイルのレピュテー ションは、既知の正常なオブジェクトと既知の不正なオブ ジェクトの複数のソースに基づいています。たとえば、ハ ッシュ、IT ツール、および証明書に基づいてアプリケーシ ョンをホワイトリストまたはブラックリストに登録できま す。“ レピュテーションの管理 ” を参照してください。

SAML 統合

(SAML integration)

SAML (Security Assertion Markup Language) は、当事 者間で認証および承認データを交換するためのオープン スタンダードです。SAML を使用することにより、Cb Defense を Okta、Ping Identity、および OneLogin と統 合できます。“ 認証および統合 ” を参照してください。

センサー (Sensor) Cb Defense は、Windows ベースおよび macOS ベースの システムに対応したホスト ベースの軽量なセンサーを使 用します。このセンサーにはクイック インストール プロ セスがあるため、システム パフォーマンス、CPU、ネッ トワーク、ディスク、およびバッテリー寿命への⼤きな影 響は(ほとんどの場合) ありません。インストール後、セ ンサーの管理は Cb Defense 管理コンソールで⾏います。

センサー グループ

(Sensor group)

センサー グループを作成し、そのグループにセンサーを 追加できます。センサー グループ内のすべてのセンサー は、センサーに関連付けられているメタデータと定義し た条件に基づいて、ポリシーに自動で割り当てられま す。“ ポリシー自動割り当て用のセンサー グループの管理

” を参照してください。

語句 定義

SHA256 ハッシュ

(SHA256 hash)

SHA (Secure Hash Algorithm) は、暗号ハッシュ機能で す。暗号ハッシュは、テキストまたはデータ ファイルの 署名に似ています。SHA-256 アルゴリズムは、256 ビット

(32 バイト) のハッシュを生成します。

シグネチャ ミラー サーバー

(Signature mirror server)

Cb Defense ローカル スキャン シグネチャのローカル リポ ジトリ。“シグネチャ ミラーの⼿順” を参照してください。

スパイダー グラフ

(Spider graph)

アラートに関連付けられている TTP を示す対話型グラ フ。[Alert Triage (アラートのトリアージ)] ページに表 示されます。“[Alert behaviors based on severity (深刻 度に基づくアラートの動作)]” を参照してください。

ターゲットバリュー

(Target value)

ターゲットバリューはデバイスが属しているポリシーに よって定義されます。特定のデバイスで検出された任意 の脅威の脅威レベルを計算する際に乗数としての役割を 果たします。

低いターゲットバリュー – 脅威レベルが低くなります。

中間ターゲットバリュー – ベースラインを表します

(乗数なし)。

⾼いターゲットバリューおよびミッション クリティカ ルなターゲットバリュー – 同じ状況下でどちらも脅威 レベルが⾼くなります。その結果、説明は同じでも優 先度スコアが異なる 2 つ以上のアラートが表示される 場合があります。

(プロセスの) 終了

(Terminate (process))

ポリシー設定に従って、レピュテーションや⾏動に基づ きプロセスを終了するアクション。

[Threat (脅威)] カテゴリ

(Threat category)

[Monitored(監視対象)] カテゴリは、対応を要するレベ ルには達していないが、破壊的である可能性があり、注意 を要する⾏動が含まれる⼀連の⾏動データです。

[Threat (脅威)] カテゴリは、⼀連の⾏動データと、デ バイス上の悪意ある⾏動を示すコンテキスト情報です。

脅威 ID (Threat ID) 脅威 ID はアラートに対応しており、デバイスには依存し ない、アラートからの属性のサブセットに応じて決まり ます。アラート リスト ページから [Investigate (調査)]

ボタンをクリックすると、[Investigate (調査)] ページ の URL にこの 32 文字の文字列が表示されます。アラート リスト ページで脅威 ID を検索すると、同じ脅威 ID に関 連付けられている他のアラートを調べることができま す。複数のインシデント ID が同じ脅威 ID を共有すること があります。

「インシデント ID (Incident ID)」も参照してください。

TTP Cb Defense では、動作は個別の TTP(Tactics, Techniques, and Procedures: 攻撃⼿口) として捕捉されます。動作はセ ンサーによってデバイスで捕捉され、バックエンド プラッ トフォームで分析エンジンによってアラートにコンパイル される (適用される場合) グループとして分析されま す。“TTP のリファレンス ” を参照してください。

語句 定義

ドキュメント内 cbd-userguide.book (ページ 180-185)