Cylance アプリケーションのインストールとダッシュボードの表示
このページでは、Cylance アプリケーションのインストール方法を実際に示し、各アプリケーション ダッシュボードの例を示します。アプリケーションの事前定義済みの検索とダッシュボードを使用すると、データの分析結果を簡単に視覚化できます。
Sumo Logic アプリケーションのインストール
これで Cylance 用のログ収集がセットアップされましたので、Cylance アプリケーションをインストールできます。
アプリケーションをインストールするには、次の手順を実行します。
ダッシュボード フィルタ
各ダッシュボードにはフィルタがいくつか定義されており、次の例のようにダッシュボード全体に適用できます。上部のダッシュボード メニュー バーにあるファネル アイコンをクリックすると、ダッシュボード全体に適用できるフィルタのスクロール可能なリストが表示されます。
各パネルにはフィルタがいくつか定義されており、次の例のようにパネルの結果にのみ適用できます。一番上にあるパネルのメニュー バーで漏斗のアイコンをクリックして、パネル特有のフィルタのリストを表示します。
[Cylance - Overview (Cylance - 概要)] ダッシュボード
[Cylance - Overview (Cylance - 概要)] ダッシュボードは、ご利用のネットワークで発生した脅威インシデントの概要を提供します。ダッシュボード パネルには、悪用制御違反タイプ、ゾーン、脅威の分類、デバイス、脅威ファイル タイプ、イベントのタイプと傾向、イベントの外れ値、イベントの時間比較の傾向の詳細が一目で分かるグラフで表示されます。
このダッシュボードでは以下の操作を行うことができます。
- スクリプト制御、メモリ悪用保護、デバイス制御、アプリケーション制御、AI ベースの脅威分類、Cylance Web コンソールから実行されたユーザ アクションなど、各防止コンポーネントのサマリを分析する。
- システム内の脅威を表示し、パネルをクリックして特定の防止メカニズムと脅威イベントにドリルダウンする。
[Cylance - Threat (Cylance - 脅威)] ダッシュボード
[Cylance - Threat (Cylance - 脅威)] ダッシュボードは、ご利用のネットワークで発生した脅威の概要を提供します。ダッシュボード パネルには、イベント数、上位のイベント名、ステータス、ファイル タイプ、一意の脅威、重大度、脅威が最多のホスト、脅威の発生元、分類、ブロックされた脅威のグラフと詳細情報が表示されます。
このダッシュボードでは以下の操作を行うことができます。
- システムで特定され、処理された脅威の影響を受けたホスト (IP アドレス、デバイス名) とゾーンを特定する。
- 複数回発生した SHA の影響を受けたファイルと、ファイルのさまざまなパスをモニタリングし、脅威の足跡を把握する。
[Cylance - Threat Classification (Cylance - 脅威分類)] ダッシュボード
[Cylance - Threat Classification (Cylance - 脅威分類)] ダッシュボードは、ご利用のネットワークで発生した脅威のインサイトに富むビューを提供します。ダッシュボード パネルには、イベント、イベント名、脅威クラス、サブクラスの傾向、安全なファイル、マルウェア ファイル、イベント詳細のグラフと詳細情報が混在して表示されます。
このダッシュボードでは以下の操作を行うことができます。
- Cylance Research チームによって組織内の脅威がどのように分析、分類されるかを特定する。
- 分類 (マルウェア、PUP (不審なプログラム)、二重使用、信頼できるローカル、不明) 別に脅威を評価する。
- 信頼できるローカル ファイルを特定して、Cylance の安全リストに登録する。分類とサブ分類の詳細については、Cylance のドキュメントを参照してください。
[Cylance - Memory Exploit Attempts (Cylance - メモリ悪用の試み)] ダッシュボード
[Cylance - Memory Exploit Attempts (Cylance - メモリ悪用の試み)] ダッシュボードは、ご利用のネットワークでメモリを悪用しようとした試みの概要を提供します。ダッシュボードパネルには、イベント、違反、ブロックされた/終了させられたプロセス、ポリシー、ユーザ、ホスト、アクション、イベント傾向の詳細情報が表示されます。
エージェントは、侵入の痕跡と考えられるハードコードされた挙動を検出するたびに、フックされた API 関数が完了する前に、そのイベントをサービスに通知します。サービスは、エージェントが実行すべきアクションを返します。例:
- 違反を無視して実行を続行させる
- 違反のアラートを通知してから実行を続行させる
- 違反をブロックしてアラートを送信する
- プロセスを完全に終了する
このダッシュボードでは以下の操作を行うことができます。
- 環境における最も一般的なポリシー違反、プロセス、影響の大きいシステムを特定する。
- 環境で設定されているポリシーによって、いつ、どこで、どのアクションが実施されたかをモニタリングする。
- 知見に基づいて必要なポリシーの変更を考案する。
[Cylance - Device (Cylance - デバイス)] ダッシュボード
[Cylance - Device (Cylance - デバイス)] は、ご利用のネットワークで脅威を受け取ったデバイスへのインサイトを提供します。ダッシュボード パネルには、一意のデバイス名、IP アドレス、MAC アドレス、ユーザ、ホスト、オペレーティング システム、イベント名、イベント傾向の情報が表示されます。
このダッシュボードでは以下の操作を行うことができます。
- Cylance エージェントによって保護されているデバイスを分析する。
- 登録、更新された新しいデバイスと、それらに割り当てられたポリシーをモニタリングする。
- 保護の対象から外されたデバイスを調査する。
- 古いまたは廃止されたバージョンのエージェントが動作しているデバイスが見つかった場合に、最新のエージェント バージョンをプッシュするかどうかを評価する。
[Cylance - Device Control (Cylance - デバイス制御)] ダッシュボード
[Cylance - Device Control (Cylance - デバイス制御)] ダッシュボードは、ご利用のネットワークで発生した脅威に関与した外部デバイスのインサイトを提供します。ダッシュボード パネルには、イベント、ホスト、一意の外部デバイス、イベントとアクションの傾向、デバイス制御イベントのグラフと詳細情報が表示されます。
このダッシュボードでは以下の操作を行うことができます。
- 環境に接続されている外部デバイス (USB 大容量ストレージ デバイスなど) をモニタリングする。
- どのデバイスをシステムに接続するかを評価する。
- 特定のデバイスまたはデバイス カテゴリ グループへのアクセス権を付与したり取り消したりする。
- ベンダー ID、製品 ID、製造番号によって外部デバイスをモニタリングする。
- 必要に応じてベンダー ID 別にポリシーへの例外を定義する。
[Cylance - Script Control (Cylance - スクリプト制御)] ダッシュボード
[Cylance - Script Control (Cylance - スクリプト制御)] は、ご利用のネットワークで使用しているスクリプトに関するインサイトを提供します。ダッシュボード パネルには、イベント、デバイス、インタープリタ、ユーザ、ゾーン、ホスト、ファイル、イベント傾向のグラフと詳細情報が表示されます。
このダッシュボードでは以下の操作を行うことができます。
- 環境内でスクリプトがいつ、どこで、どのように使用されるかをモニタリングする。これによって、攻撃者がマルウェアをばらまける攻撃可能面を減らすことができます。
- 環境で実行されているスクリプトをモニタリングして保護する。
- システム上のインタプリタ バージョンをモニタリングし、古いバージョンが実行されている場合には、最新バージョンをプッシュするかどうかを判断する。
- スクリプトの実行前にスクリプトとスクリプト パスを検出する。
- 通知アラートによってどのスクリプトがブロックまたは実行されているかをモニタリングする。
- アラート設定をブロック モードに変更して指定されたフォルダから実行されるスクリプトのみを許可する。
[Cylance - AuditLog] ダッシュボード
[Cylance - AuditLog] ダッシュボードにより、ご利用のネットワークの監査ログに関する情報に簡単にアクセスできます。ダッシュボード パネルには、イベント数、イベントの名前と傾向、ユーザとユーザの地理的位置、Source IP、最近のイベントのリストのグラフと詳細情報が表示されます。
このダッシュボードでは以下の操作を行うことができます。
- Cylance Web コンソールから実行されるユーザ アクティビティをモニタリングする。
- Cylance Web コンソールを使用してポリシーを手動で上書きまたは更新するユーザをモニタリングする。