ThreatDownを搭載したマネージド脅威ハンティング(MTH)は、脅威インテリジェンスと相関する潜在的な攻撃を検出するために設計されたクラウドベースのサービスであり、自動および組織化された対応、セキュリティ担当チームによる侵害の概要とエスカレーションの指標を提供します。
この記事は、すべての MTHをご利用のお客様に適用されます。
マネージド脅威ハンティングの機能
- 24x7x365 Malwarebytesエンドポイント検出および対応 (EDR) のアクティブな脅威検出と修復のガイダンス。
- さまざまな規模や業種のお客様にサービスを提供した経歴を持つ訓練を受けたセキュリティ担当者。
- 独自の分析エンジンによってサポートされるバックエンドの人工知能と機械学習。
- 統合されたインテリジェンスソースを備えたクラウドベースの独自のバックエンドプラットフォーム。
- 侵害の重要な指標 (IoC) の 31 日間のルックバック。
- インシデントは 、Nebula® ThreatDown ポータルによって慎重に提起されます。
- インシデントの重大度に応じた顧客主導の段階的な通知。
最初のステップ
TeamViewerは、アカウントでサービスが有効化されると、ポップアップ通知が表示されます。Setup MTHボタンを選択して、初期設定に進みます。
次の画面で、主要連絡先、バックアップ連絡先、および代替連絡先を設定します。主要連絡先のドロップダウンメニューを選択し、企業プロファイルの目的のメンバーを選択します。自動的に入力されない場合は、この連絡先のメイン電話番号を挿入します。
完了したら、画面の右上隅にある保存をクリックします。マネージド脅威ハンティングが正常に有効化されたことを示すポップアップ通知が表示されます。
MTHポータルへのアクセス方法
マネージド脅威ハンティング (MTH) ポータルは、サービスの全面的な管理を行います。設定または検出タブにある Nebula ボタンを選択するとアクセスできます。Nebula に入ったら、マネージド サービスを選択して、報告されたすべてのケースとインシデントを表示します。
MTHポータルについて
ThreatDown を搭載した MTH ポータルは、ライセンスの管理ダッシュボードです。ポータル内にはマネージド サービス タブがあり、MTH が提供するすべてのレポートを表示できます。
マネージド サービスは、2 つの主要セクションに分かれています:
概要
概要タブには、対話型ウィジェットのコレクションを通じて、マネージド サービス ケースの概要を一元的に表示します。これらのウィジェットは、ケースアクティビティについての洞察が一目で分かるように設計されており、ユーザーが Nebula 環境のセキュリティ体制を効果的に監視および評価できるようにします。簡潔で関連性の高いデータを表示することにより、概要タブは、傾向の理解、懸念領域の特定、およびアクションの優先順位付けの開始点として機能します。
このタブは、環境内の悪意のあるアクティビティをすばやく把握するのに特に役立ちます。時間指定のフィルタリングをサポートしているため、ユーザーは表示される情報の範囲を特定の期間に絞り込むことができます。この機能により、選択した期間内での傾向の分析やインシデントの調査が容易になります。
概要タブでは次のウィジェットが使用でき、それぞれ特定の目的を果たします:
- ステージ別ケース: このウィジェットは、インシデント対応ライフサイクルの現在のステージに基づいてケースを分類することにより、ケースアクティビティの概要を提供します。これにより、ユーザーは、ケースが新しく開かれたか、調査中か、解決済みかなど、ケースの進行状況を追跡できます。
- 優先度別ケース: このウィジェットには、優先度別にグループ化された未解決のケースの数が表示されます。各ケースの緊急性を強調表示することで、ユーザーはすぐに対応が必要な優先度の高いケースをすばやく特定し、重大な問題に迅速に対処できるようになります。
- 主なケースクローズ理由: このウィジェットは、アナリストによって決定された、ケースをクローズする最も一般的な理由を示します。これらの傾向をまとめると、ケース解決を促進する繰り返し発生する要因に関する貴重な洞察が得られ、チームが対応戦略を最適化し、将来の結果を改善するのに役立ちます。
ケース
マネージド サービス ページの ケースタブには、未解決のケースとその詳細のリストが表示されます。ケースタブでは次の情報を確認できます:
- アラート: ケースに関連付けられた検出の数
- 割り当てられたアナリスト: ケースに割り当てられたアナリスト
- ケース名: 検出 (DE) または疑わしいアクティビティ (SA) の後に、検出のエンドポイント名とパスが続きます
- クローズ理由: アナリストがケースをクローズした理由
- クローズ時刻: ケースがクローズされた時刻
- 作成時刻: ケースがオープンされた時刻
- エンドポイント: アラートのあるデバイスの名前
- ID: ケースの ID 番号
- 優先度: ケースの緊急度
- ステージ: ケースの現在のフェーズ
- ステータス: ケースがオープンまたはクローズされているか
- 更新日時: ケースが最後に更新された日時
ケースの詳細を表示する方法
MTH ケースの詳細を表示するには、ID 列の ID 番号をクリックします。これにより、新しいドロワーに次の情報が表示されます:
- 通信&履歴
ケースの詳細スライドアウト内の通信&履歴タブには、包括的なケース アクティビティ レコードが表示されます。これには、アナリスト間の通信、詳細な修復手順、調査中に実行されたアクションのログが含まれます。
表示される情報を絞り込むには、アイコンを使用して、コメント、ステータスの更新、その他の重要な変更など特定のイベントをフィルタリングし、最も関連性の高い詳細にすばやくアクセスできるようにします。
- アラート&アーティファクト
1 つのケースに複数のアラートが含まれる場合があり、多くの場合、同じエンドポイントで発生する相互に関連する複数の悪意のあるアクティビティを表します。これらのアラートは、分析を効率化し、コンテキストを強化するためにグループ化されます。アラート&アーティファクトタブでは、ケースに関連付けられたアラートと関連項目を確認できます。さらに詳しく調査するには、各アラートの横にある検出に移動ボタンを使用して、そのケースに関連付けられた特定の検出または疑わしいアクティビティに直接アクセスできます。
エンドポイント保護を最適化するための MTH の設定方法
MTH を正常に動作させるには、EDRの特定の設定が必要です。これらの設定は、 Endpoint Protection ポリシー設定で確認できます。この設定にアクセスするには、 管理者設定 に移動し、 デバイス管理の下のポリシーを選択します。すでにポリシーが作成されている場合は、このポリシーを編集できます。それ以外の場合は、ポリシーのドロップダウンから Endpoint Protectionを選択して、新しいポリシーを作成できます。適切なOSで次の設定が有効になっていることを確認してください。
- Windows
- macOS
- 不審なアクティビティの監視
- サーバーオペレーティングシステムの監視
- 分離時にエンドポイントをロックする
- ランサムウェアのロールバック
5. 疑わしいアクティビティの監視
6. 隔離時にエンドポイントをロックする
効率的な通知を確保する方法
必要な通知をすべて設定することは、お客様とチームが潜在的な脅威に対して常に注意を払うために重要です。以下の情報は、マネージド脅威ハンティング の通知に関するものです。
新しい通知を作成するときは、[マネージド サービス アクティビティ] を選択します。
通知を送るタイミングについて、いくつかの条件を追加することをお勧めします。これにより、管理者が注意を払う必要のないメッセージに振り回されることがなくなります。
以下の各 フィールド オプションを選択すると、使用可能な値が表示されます。
- イベントの種類
- 優先度
- 必要なアクション
以下に等しい:
- すべての
- ケース作成
- ケース更新
- ケースクローズ
以下に等しい
- すべて
- クリティカル
- 高
- 中
- 低
以下と等しい
- 真
- 偽
次のセクションでは、通知の送信方法を選択します。メールに加えて、 Slack/Microsoft Teams、Webhook、または ThreatDown Adminアプリを介して通知を受け取るように選択できます。
最後のステップでは、集約を有効にして、受信する通知を減らし、より集中できるようにすることができます。これにより、選択した間隔とグループ化オプション、および以前に選択したアクティビティの種類、条件、配信方法に基づいて、複数のアラートが 1 つの通知に統合されます。
右下隅にある 完了を選択して、新しい通知を保存します。