Aurora Endpoint Security サービスにわたるアラートの管理

[アラート]表示では、Aurora Endpoint Security サービスにわたって検出および関連付けられたアラートを包括的に確認でき、企業エコシステムで一般的な脅威パターンを識別および追跡し、アラートの収集をより効率的に解決することが、一層簡単になります。[アラート]表示により、それぞれが Aurora Protect DesktopAurora Focus など特定のサービス専用になっている、コンソールのさまざまなセクションからのアラートを調査する必要がなくなります。[アラート]表示を使用して、環境でサポートされている Aurora Endpoint Security サービスのいずれのアラートも確認、調査、および管理できます。

サービス

[アラート]表示でサポートされる機能

Aurora Protect Desktop

デスクトップデバイス上の Aurora Protect Desktop エージェントからの脅威テレメトリメモリ保護アラートスクリプトコントロールアラート

Aurora Focus

デスクトップデバイス上の Aurora Focus エージェントによって検出されたアラート。

Okta コネクタ

Okta コネクタNo Content found for /db/organizations/arcticwolf/repositories/zz_portal-production/content/documents/external_documentation/aurora_endpoint_security/endpoint_security/admin_guide/onealert/third-party-connectors/Add-and-configure-an-Okta-connector.ditaを使用した Okta ユーザーイベントテレメトリ。

CylanceENDPOINT Pro ライセンスが必要です。

Mimecast コネクタ

Mimecast コネクタNo Content found for /db/organizations/arcticwolf/repositories/zz_portal-production/content/documents/external_documentation/aurora_endpoint_security/endpoint_security/admin_guide/onealert/third-party-connectors/Add-and-configure-a-Mimecast-connector.ditaを使用した Mimecast 添付ファイル保護テレメトリ。

CylanceENDPOINT Pro ライセンスが必要です。

最初の[アラート]表示は、優先度、アラート分類、設定された応答、および他の重要なアラート属性などの条件に基づいて類似したアラートをグループ化した概要です。これらの条件の詳細については、「Aurora Endpoint Security がアラートをグループ化する方法」を参照してください。

アラートの自動化されたグループ化では、アラートの頻度と出現率の両方が反映され、アナリストに脅威の発生頻度および発生場所を明確に表示します。デフォルトでは、アラートグループが優先度の降順で並べ替えられて、関連するすべてのセキュリティテレメトリのトップダウン表示が提供されます。各グループには、グループに関連付けられている重要なインジケータアーチファクトのタイプ(ファイル、プロセス、メールなど)のアイコンが表示されます。重要なインジケータアイコンをクリックすると、重要なインジケータの属性を確認できます。必要に応じて、それらの値をコピーまたはフィルタリングできます。新しいアラートは、テレメトリソースから検出および処理されると、既存のグループまたは新しいグループに追加されます。

[アラート]表示では、単一検出アラートと複数検出アラートがサポートされています。アラート検出ルールでは、複数の検出を実行してからアラートを生成して[アラート]表示に表示することがあります。各検出は、イベント(ファイルが開かれた、レジストリキーが追加されたなど)を使用してモデル化されます。

アラートグループをクリックすると、次の情報にアクセスできます。
  • そのグループに関連する検出の詳細と重要なインジケータの概要を示す[アラートの概要]タブ。
  • [重要なインジケータ]タブには、グループ内の各アラートで同一の検出属性が表示されます。たとえば、重要なインジケータがファイルハッシュである場合、同じデバイスからものであるか、異なるデバイスからのものであるかに関係なく、各アラートで検出されたハッシュです。重要なインジケータは、親、子、および兄弟オブジェクトの間の関係を示すように視覚的に表示されます。複数検出アラートの場合、重要なインジケータは各イベントに含まれ、実行順に概要が示されます。
  • グループ内の個々のアラートのリスト。個々のアラートをクリックすると、詳細情報を開くことができます。また、アラートに関連付けられていて、アイコンとして表示されるすべてのアーチファクトを表示することもできます。アーチファクトには、基礎となる検出エンジンによってキャプチャされたすべてのファセットが含まれています。重要なインジケータと同様に、これらのアーチファクトも、親、子、および兄弟オブジェクトの間の関係を示すように視覚的に表示されます。複数検出アラートの場合、重要なインジケータは各イベントに含まれ、実行順に概要が示されます。
  • AI ベースの Aurora Security Assistant を使用して、アラートグループのサマリー分析、およびアラートグループ内のプロセスとスクリプトアーチファクトの詳細分析を行うことができます。Aurora Security Assistant では、サイバーセキュリティの豊富な知識ソースを活用して、脅威調査に役立つ貴重な情報が提供されます。詳細については、「AI ベースの Aurora Security Assistant によるアラートの調査」を参照してください。

グループ内のアラートのタイプによっては、管理アクションを実行することもできます。たとえば、Aurora Protect Desktop 脅威アラートの場合、グローバルセーフリストまたはグローバル隔離リストにファイルを追加したり、これらのリストからファイルを削除したりできます。