Smart Alert について

適用対象: ThreatSync+ NDR 

ThreatSync+ NDR では、人工知能 (AI) により、大量のネットワーク トラフィックに関連するデータが Smart Alert に統合されます。Smart Alert は、ネットワークで潜在的な攻撃が進行中であることを示し、最大のリスクと組織への影響をもたらす脅威に焦点を当てるように管理ユーザーを誘導することを目的とするものです。

Smart Alert ページは、ThreatSync+ NDR ライセンスが割り当てられている場合に使用することができます。詳細については、次を参照してください:ThreatSync+ NDR ライセンスについて

ThreatSync+ NDR でネットワークへの脅威または異常なネットワーク アクティビティが検出されると、そのアクティビティを確認して対応するように Smart Alert によって通知されます。Smart Alert には、アクティビティ、そのアクティビティが検出された経緯、およびそれが脅威と見なされる理由に関する説明が含まれています。

最初の検出時には、Smart Alert が新規状態になっています。ThreatSync+ NDR でそのアラートに関連する追加のアクティビティが検出されると、Smart Alert が更新済みの状態に移行します。脅威を確認して修正したら、その Smart Alert を終了済みの状態に移行することができます。

ThreatSync+ NDR で Smart Alert が生成されると、監視 > ThreatSync+ > Smart Alert の順に移動したページに、それが表示されます。ThreatSync+ NDR で Smart Alert が生成または更新された場合に電子メールが送信されるように通知を設定することもできます。詳細については、次を参照してください:ThreatSync+ のアラートと通知ルールを構成する

Screenshot of the Smart Alerts page

Smart Alert ページには、Smart Alert のリストと以下の詳細が表示されます。

  • Smart Alert — Smart Alert の名前。
  • 信頼度 — Smart Alert に示されている脅威に対する ThreatSync+ NDR での評価の度合い (確信度)。信頼度レベルは、超低、低、中、高、超高のいずれかとなります。
  • 開始 — アクティビティが始まった日時。
  • 終了 — アクティビティが止まった日時。
  • 主要アクター — 悪質なアクティビティを実行している可能性のあるデバイスに関連付けられたユーザーまたはエンティティの名前、IP アドレス、または電子メール アドレス。主要アクターは、脅威の要因となっているデバイスまたは侵害されたデバイスである可能性があります。
  • ステータス — Smart Alert のステータス。ステータスは、新規、更新済み、終了済みのいずれかとなります。
  • 終了する理由 — ユーザーが Smart Alert を終了済みにした理由。
  • 終了したユーザー — Smart Alert を終了済みにしたユーザーの名前。
  • 同様の Smart Alert の終了 — 今後同様の Smart Alert が発生した場合に、それが自動的に終了されるように管理ユーザーが設定したかどうかを示すものです。
  • コメント — Smart Alert に追加されたコメントが表示されます。
  • 詳細については、次を参照してください:Smart Alert の詳細を確認する

    • Smart Alert の種類と動作

    Smart Alert の種類および脅威のレベル (超低、低、中、高、超高のいずれか) によって、ネットワークを保護するために実行するアクションが決まります。たとえば、漏洩や C2 (コマンド アンド コントロール) を示す Smart Alert の場合は、攻撃者がネットワークでアクティブに活動している可能性があります。プロービングおよび偵察を示す Smart Alert の場合は、新たな攻撃者がネットワークへの攻撃を開始している可能性があります。

    まず、サイバー攻撃プロセスの後半で発生する漏洩などの動作に対処することが勧められますが、早い時点で攻撃を検知することが組織を保護する最善策となるため、早期に脅威に対処することも重要となります。

    Smart Alert には、複数の悪質な動作が含まれている可能性があります。たとえば、不審なトンネリング&ポート スキャンは、水平ポート スキャンと不審な DNS トンネルという 2 つの悪質な動作の組み合わせです。

    Smart Alert の種類には、以下が含まれます。

    • 内部から外部へのプロービングまたは偵察
    • 不審なトンネリング&データ漏洩
    • 不審な DNS トンネリング&ポート スキャン
    • 不審なトンネリング&ポート スキャン
    • 不審なトンネリング&データ漏洩
    • プロービングまたは偵察
    • 横展開の疑い

    Smart Alert の動作には、以下が含まれます。

    • Web アプリケーション インターフェイスを介した不審なビーコン動作
    • 内部から外部への水平ポート スキャン
    • 内部から外部への垂直ポート スキャン
    • ピアツーピア漏洩
    • 水平ポート スキャン
    • ネットワーク境界を超える大容量の通信
    • 不審な DNS トンネリング
    • 不審な ICMP トンネリング
    • 大きい一時的なポート フットプリント
    • ブロックリスト IP 経由での悪質な URL またはドメインへのアクセス
    • 不審な RDP トンネリング アクティビティ
    • 資産に対する不審なアクティビティ

    特定の Smart Alert の詳細情報と修正ガイダンスを表示するには、Smart Alert をクリックします。詳細については、次を参照してください:Smart Alert の詳細を確認する

    関連トピック

    ThreatSync+ を監視する

    ThreatSync+ 概要ページについて

    ポリシー アラートについて