知識ベース

サポートの概要に戻る

ThreatDownを搭載したマネージド脅威ハンティング(MTH)は、脅威インテリジェンスと相関する潜在的な攻撃を検出するために設計されたクラウドベースのサービスであり、自動および組織化された対応、セキュリティ担当チームによる侵害の概要とエスカレーションの指標を提供します。

この記事は、すべての MTHをご利用のお客様に適用されます。

マネージド脅威ハンティングの機能

  • 24x7x365 Malwarebytesエンドポイント検出および対応 (EDR) のアクティブな脅威検出と修復のガイダンス。
  • さまざまな規模や業種のお客様にサービスを提供した経歴を持つ訓練を受けたセキュリティ担当者
  • 独自の分析エンジンによってサポートされるバックエンドの人工知能と機械学習
  • 統合されたインテリジェンスソースを備えたクラウドベースの独自のバックエンドプラットフォーム。
  • 侵害の重要な指標 (IoC) の 31 日間のルックバック
  • インシデントは 、Nebula® ThreatDown ポータルによって慎重に提起されます。
  • インシデントの重大度に応じた顧客主導の段階的な通知

最初のステップ

TeamViewerは、アカウントでサービスが有効化されると、ポップアップ通知が表示されます。Setup MTHボタンを選択して、初期設定に進みます。

次の画面で、主要連絡先、バックアップ連絡先、および代替連絡先を設定します。主要連絡先のドロップダウンメニューを選択し、企業プロファイルの目的のメンバーを選択します。自動的に入力されない場合は、この連絡先のメイン電話番号を挿入します。

注意: 主要連絡先のみが必要です。必要に応じて、バックアップ連絡先と代替連絡先を追加できます。

完了したら、画面の右上隅にある保存をクリックします。マネージド脅威ハンティングが正常に有効化されたことを示すポップアップ通知が表示されます。

注意: マネージド脅威ハンティングの有効化を試みる前に、EDR を有効化する必要があります。Endpoint Detection & Responseを有効化する前にMTHアドオンを有効化しようとすると、エラーメッセージが表示されます。

MTHポータルへのアクセス方法

マネージド脅威ハンティング (MTH) ポータルは、サービスの全面的な管理を行います。これには、設定または検出タブにある星雲ボタンを選択することでアクセスできます。星雲に入ったら、右上隅にあるMTHポータルを選択します。

MTHポータルについて

マネージド脅威ハンティングで検出された脅威に関するすべてのレポートは、MTHポータルで確認できます。MTHポータルの他のセクションに移動するには、左上隅のメニューを使用します。

ダッシュボード

ダッシュボードには、1 ヶ月からそれ以上にわたるレポートの概要を含む、すべてのデバイスと脅威の概要が表示されます。また、環境サマリーでは、すべての事例、アラート、インシデントに関するステータスが表示されます。

ワークブック

ワークブックは 、追加のアクションに支援が必要なすべてのケースの簡単な概要です。さらに、すべての脅威に関して以前に提供されたレポートがここに表示されます。

エンドポイント保護を最適化するための MTH の設定方法

MTH を正常に動作させるには、EDRの特定の設定が必要です。これらの設定は、 Endpoint Protection ポリシー設定で確認できます。この設定にアクセスするには、 管理者設定 に移動し、 デバイス管理の下のポリシーを選択します。すでにポリシーが作成されている場合は、このポリシーを編集できます。それ以外の場合は、ポリシーのドロップダウンから Endpoint Protectionを選択して、新しいポリシーを作成できます。適切なOSで次の設定が有効になっていることを確認してください。

  1. 不審なアクティビティの監視
  2. サーバーオペレーティングシステムの監視
  3. 分離時にエンドポイントをロックする
  4. ランサムウェアのロールバック

5. 疑わしいアクティビティの監視

6. 隔離時にエンドポイントをロックする

効率的な通知を確保する方法

必要な通知をすべて設定することは、お客様とチームが潜在的な脅威に対して常に注意を払うために重要です。以下の情報は、マネージド脅威ハンティング の通知に関するものです。

注意: 通知は、ThreatDownの Nebulaコンソールで管理されます。

新しい通知を作成するときは、[マネージド サービス アクティビティ] を選択します。  

通知を送るタイミングについて、いくつかの条件を追加することをお勧めします。これにより、管理者が注意を払う必要のないメッセージに振り回されることがなくなります。

以下の各 フィールド オプションを選択すると、使用可能な値が表示されます。

以下に等しい:

  • すべての
  • ケース作成
  • ケース更新
  • ケースクローズ

以下に等しい

  • すべて
  • クリティカル

以下と等しい

次のセクションでは、通知の送信方法を選択します。メールに加えて、 Slack/Microsoft Teams、Webhook、または ThreatDown Adminアプリを介して通知を受け取るように選択できます。

最後のステップでは、集約を有効にして、受信する通知を減らし、より集中できるようにすることができます。これにより、選択した間隔とグループ化オプション、および以前に選択したアクティビティの種類、条件、配信方法に基づいて、複数のアラートが 1 つの通知に統合されます。

右下隅にある 完了を選択して、新しい通知を保存します。