CB Defenseでのアラート管理について

次世代アンチウイルスCB Defenseでは端末が何らかの攻撃を受けた場合のインシデントを検知するために、あらかじめ対象端末にセンサー(エージェント)をインストールしておきます。そのセンサーで収集されたイベント情報はCB Defenseクラウドにアップロードされ、個別 Event IDが付与され管理されます。

CB Defenseのセンサーで検知された攻撃インシデントや、CB Defenseクラウドにアップロードされたイベントの脅威分析によって「攻撃」などと判断されたインシデントは、アラートとしてAlert IDが付与され、管理されます。また各アラートには、関連したイベント情報をまとめて管理されます。

さらにCB Defenseでは、アラート(インシデント)の上位の管理単位として、Threat IDが利用されています。Threat IDでは、関与したプログラムのハッシュ値を基に、脅威分析などで特定された攻撃手法をまとめて管理しています。例えば異なる PC上でも、同じプログラムを使った同じ攻撃手法の場合、共通のThreat IDが付与されます。

これにより同じPC上で複数回発生している攻撃や、複数のPCで発生している同種の攻撃のアラートについて、Threat IDを基にグループ化して管理することが可能となります。またCB Defenseには、各アラートを非表示にすることができるDismiss機能があります。同種のアラートを将来にわたって非表示(Dismiss)とする場合には、Threat IDが利用され、同じプログラムによる同種の攻撃を非表示とすることが可能です。

関連リンク

CB Defense 製品情報

ご相談、ご質問はこちら
お急ぎの場合はこちら
03-5297-3487
受付時間 平日9:00-17:00
製品資料、導入事例はこちら
価格お問い合わせはこちら
まずはお試しください

 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ全般  資料ダウンロード