集約されたアラートの表示と管理

管理者ロールに、[アラート]ビューを使用するために必要な権限があることを確認します。[アラートの表示]権限では、アラートビューへの読み取り専用アクセスが提供されます。このビューでアラートグループや個々のアラートを変更するには、[アラートの編集]および[アラートの削除]権限が必要です。[アラート]ビューを使用して、Aurora Protect Desktop 脅威アラートからグローバルセーフリストまたはグローバル隔離リストにファイルを追加したり、これらのリストからファイルを削除したりするには、関連するグローバルリスト権限がロールに必要です。詳細については、セットアップガイドで「管理者の設定」を参照してください。
  1. 管理コンソールのメニューバーで[アラート]をクリックします。
    表示する列を選択するには、右にスクロールし、列選択アイコン をクリックします。
  2. 次の操作のいずれかを実行します。

    タスク

    手順

    アラートグループのフィルターとソート
    1. 列の 列フィルターアイコン をクリックしてフィルター条件を入力または選択します。次のいずれかを行うことができます。
      • 複数のフィルター条件を一度に適用します。フィルターを削除するには、そのフィルターの x をクリックします。
      • 分類、サブ分類、説明、または重要なインジケータでフィルタリングする場合は、次のいずれかを実行します。
        • 完全に一致するものを検索するには、設定アイコン > [次の値に等しい]をクリックします。一致を表示する値を入力します。最大 5 件の一致をクリックしてフィルタリングリストに追加し、[適用]をクリックします。
        • 指定した値を含む一致を検索するには、設定アイコン > [含む]をクリックします。1 つまたは複数の値を入力します(値を追加するには、追加アイコン をクリックします)。[適用]をクリックします。

        結果を表示するときに、画面上部に表示されているフィルターをクリックして、フィルター条件を追加または削除できます。

      • [カウント]でフィルタリングする場合は、追加オプションの 設定アイコン をクリックします([次の値より大きい]、[次の値より小さい]など)。
      • [製品]でフィルタリングすると、結果を特定の Aurora Endpoint Security サービスに絞り込むことができます。
      • [検出時刻]でフィルタリングすると、結果を特定の日時範囲に絞り込むことができます。
    2. アラートグループを列の昇順または降順に並べ替えるには、列の名前をクリックします(該当する場合)。

    アラートグループの重要なインジケータの詳細の表示、および重要なインジケータのタイプまたは値でのアラートグループのフィルタリング
    1. 重要なインジケータアイコンにマウスポインタを合わせると、オブジェクトまたはイベントのタイプが表示されます。アイコンをクリックすると、詳細が表示されます。
    2. 必要に応じて、切り捨てられた文字列値のテキスト全体を表示するには、その上にマウスポインタを合わせ、表示アイコン。 をクリックします。
    3. 必要に応じて、値をコピーするには、その上にマウスポインタを合わせ、コピーアイコン。 をクリックします。
    4. アラートグループを重要なインジケータでフィルタリングするには、その上にマウスポインタを合わせ、フィルターアイコン。 をクリックします。

    アラートグループおよび個々のアラートの詳細の表示
    1. アラートグループをクリックします。
    2. 左ペインで下にスクロールして、インスティゲーティングとターゲットオブジェクト間の関係を表示します。このビューには、個々のイベントに関連する一連の重要なインジケータ(ファイル、ユーザー、実行可能ファイル、プロセスなど)が表示されます。

      たとえば、子プロセスのインスティゲーティングプロセスである親プロセスオブジェクトまたは実行可能ファイルが表示される場合があります。同じレベルのイベントまたはオブジェクトは、同じ親の下の兄弟と見なされます。

      必要に応じて、値の上にマウスポインタを合わせ、表示アイコン。 をクリックしてテキスト文字列全体を表示したり、コピーアイコン。 をクリックして値をコピーしたりできます。プロセスとスクリプトのアーチファクトがある場合は、Cylance Assistant アイコン をクリックして Aurora Security Assistant によって分析を生成できます。詳細については、「AI ベースの Aurora Security Assistant によるアラートの調査」を参照してください。

    3. 個々のデバイスアラートに対して、次のいずれかを行います。
      • アラート情報をソートおよびフィルタリングします。
      • アラートのステータスを変更します。「アラートのステータス変更」を参照してください。
      • アラートをユーザーに割り当てます。
      • アラートのラベルを追加または変更します。
    4. 個々のアラートの詳細パネルを開くには、アラートをクリックします。次の操作のいずれかを実行します。
      • 該当する場合は、[検出の詳細]をクリックすると、コンソールの他の領域(Aurora Focus の検出ビューなど)の詳細やアクションを表示できます。[検出の詳細]リンクは、Aurora Protect Desktop 脅威アラートの場合は 60 日間、その他のタイプのアラートの場合は 30 日間有効です。
      • アラートに関連するアーチファクトを展開して詳細を確認し、インスティゲーティングとターゲットオブジェクトおよびイベントの関係を表示します。検出ルールに関連するすべてのオブジェクトが、アーチファクトビューに含まれます。

        必要に応じて、値の上にマウスポインタを合わせ、表示アイコン。 をクリックしてテキスト文字列全体を表示したり、コピーアイコン。 をクリックして値をコピーしたりできます。プロセスとスクリプトのアーチファクトがある場合は、Cylance Assistant アイコン をクリックして Aurora Security Assistant によって分析を生成できます。詳細については、「AI ベースの Aurora Security Assistant によるアラートの調査」を参照してください。

    Aurora Managed Endpoint Defense サポートの要請

    この機能は、Aurora Managed Endpoint Defense オンデマンドサブスクリプションでのみ使用できます。

    疑わしいと思われるアラートを確認し、専門家に脅威を分析してもらいたい場合は、Aurora Managed Endpoint Defense アナリストにオンデマンドで支援を要請できます。このアラートは、調査のためアナリストにエスカレートされます。Aurora Managed Endpoint Defense ポータルを使用して、エスカレートされたアラートについて、エスカレーション画面からアナリストと連絡を取ることができます。たとえば、アラートに関する追加の詳細を求めることができます。

    1. Aurora Protect Desktop 脅威アラートを含むアラートグループをクリックします。
    2. 右ペインで、[CylanceMDR サポート]ボタンをクリックします。
    3. [サポートを要請]をクリックして、アラートをアナリストにエスカレートすることを確認します。
    4. 要請については、Aurora Managed Endpoint Defense(CylanceGUARD)ポータルから追跡します。Aurora Managed Endpoint Defense 関連の資料を参照してください。

    24x7 の脅威監視をご希望の場合は、Aurora Managed Endpoint Defense Standard サブスクリプションまたは Advanced サブスクリプションをご検討ください。詳細については、Aurora Managed Endpoint Defense の概要を参照してください。

    Aurora Protect Desktop 脅威アラート:グローバルセーフリストまたはグローバル隔離リストへのファイルの追加またはこれらのリストからのファイルの削除
    1. Aurora Protect Desktop 脅威アラートを含むアラートグループをクリックします。
    2. [アクション] > [グローバルリストを管理]をクリックします。

      脅威アラートに関連するファイルの SHA256 ハッシュが表示されます。ファイルがグローバルセーフリストまたはグローバル隔離リストにすでに存在する場合は、通知が表示されます。

    3. グローバルセーフリストまたはグローバル隔離リストにファイルを追加するか、これらのリストからファイルを削除する適切なアクションを選択します。ファイルがすでにグローバルセーフリストまたはグローバル隔離リストに存在する場合は、別のリストに移動できます。
    4. ファイルをグローバルセーフリストに追加する場合は、[カテゴリ]ドロップダウンリストで該当するカテゴリをクリックします。
    5. ファイルをリストに追加する場合は、理由を入力します。
    6. [保存]をクリックします。

    該当するセーフリストまたは隔離リストに変更が適用されます。[アラート]ビューのアラートグループに変更はありません。

    アラートグループのステータス変更
    次の操作のいずれかを実行します。
    • アラートグループのステータスを変更するには、[ステータス]ドロップダウンリストで適切なステータスをクリックします。
    • 複数のアラートグループのステータスを変更するには、アラートグループを選択し、[ステータスを変更]をクリックし、適切なステータスをクリックして、[適用]をクリックします。

    アラートのステータス変更」を参照してください。

    ユーザーへのアラートグループの割り当て
    次の操作のいずれかを実行します。
    • アラートグループをユーザーに割り当てるには、[担当者]列で + をクリックし、ユーザーを検索してクリックし、[割り当て]をクリックします。
    • 複数のアラートグループをユーザーに割り当てるには、アラートグループを選択し、[アラートを割り当て]をクリックし、ユーザーを検索して選択し、[割り当て]をクリックします。

    アラートグループのラベルの追加または変更

    アラートグループにカスタムラベルを追加して、短いメモやリマインダを設定したり、フィルター条件として使用したりすることができます。ラベルを表示するには、[ラベル]列を表示するように設定する必要があります。

    1. 1 つまたは複数のアラートグループを選択します。
    2. [ラベルを変更]をクリックします。
    3. ラベルを入力して Enter キーを押すか、既存のラベルを検索して選択します。
    4. [適用]をクリックします。

    ラベルを削除するには、ラベルをクリックし、x アイコンをクリックして、[適用]をクリックします。

    アラートデータのエクスポート
    次の操作のいずれかを実行します。
    • すべてのアラートグループの詳細をエクスポートするには、エクスポートアイコン をクリックします。ファイル名を指定し、[エクスポート]をクリックします。
    • グループ内のすべてのアラートの詳細をエクスポートするには、アラートグループをクリックし、エクスポートアイコン をクリックします。ファイル名を指定し、[エクスポート]をクリックします。

    アラートグループの削除
    1. 1 つまたは複数のアラートグループを選択します。
    2. [削除]をクリックします。
    3. [削除]を再度クリックして確定します。

    フィルター結果からのラートグループの削除
    1. 適切な基準でアラートグループをフィルターします。
    2. 次の操作のいずれかを実行します。
      • フィルター結果からすべてのアラートグループを削除するには、左上のチェックボックスをオンにして[すべて削除]をクリックします。[すべて削除]を再度クリックして確定します。
      • フィルター結果から特定のアラートグループを削除するには、アラートグループを選択して[削除]をクリックします。[削除]を再度クリックして確定します。