s
次世代アンチウイルスCB Defenseでは端末が何らかの攻撃を受けた場合のインシデントを検知するために、あらかじめ対象端末にセンサー(エージェント)をインストールしておきます。そのセンサーで収集されたイベント情報はCB Defenseクラウドにアップロードされ、個別 Event IDが付与され管理されます。
CB Defenseのセンサーで検知された攻撃インシデントや、CB Defenseクラウドにアップロードされたイベントの脅威分析によって「攻撃」などと判断されたインシデントは、アラートとしてAlert IDが付与され、管理されます。また各アラートには、関連したイベント情報をまとめて管理されます。
さらにCB Defenseでは、アラート(インシデント)の上位の管理単位として、Threat IDが利用されています。Threat IDでは、関与したプログラムのハッシュ値を基に、脅威分析などで特定された攻撃手法をまとめて管理しています。例えば異なる PC上でも、同じプログラムを使った同じ攻撃手法の場合、共通のThreat IDが付与されます。
これにより同じPC上で複数回発生している攻撃や、複数のPCで発生している同種の攻撃のアラートについて、Threat IDを基にグループ化して管理することが可能となります。またCB Defenseには、各アラートを非表示にすることができるDismiss機能があります。同種のアラートを将来にわたって非表示(Dismiss)とする場合には、Threat IDが利用され、同じプログラムによる同種の攻撃を非表示とすることが可能です。VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら