TDR Cybercon レベルについて

Threat Detection and Response の中核にあるのが、サイバー コンディション (Cybercon) レベルの概念です。Cybercon レベルは、攻撃に対する企業の防衛準備度を表すものです。Cybercon レベルには、5 (重度:最低) から1 (重度:最高) までの番号が付けられています。Cybercon レベル 5 は、破壊的なセキュリティ対策よりも事業活動を優先するポジションを示します。Cybercon レベル 1 は、事業活動に影響を及ぼす可能性がある強力なセキュリティ対策を講じるポジションを示します。ネットワーク セキュリティ手順の一環として、組織に特定の意味を持つ Cybercon レベルを定義します。

  • Cybercon 5 — インシデントの検出なし
  • Cybercon 4 — 脅威レベル:低。今後のインシデントを監視
  • Cybercon 3 — 脅威レベル:中。中程度レベルの対応
  • Cybercon 2 — 脅威レベル:高。高レベルの対応と修正
  • Cybercon 1 — 脅威レベル:最高。最高レベルの対応と修正

Cybercon レベルを定義したら、これが各レベルに作成するポリシーの種類のガイドとなります。組織の Cybercon レベルがより重度になるにつれて、Threat Detection and Response を有効化することで、自動化されたアクションを通して脅威を軽減するというのが基本的な考え方となります。

ナビゲーション ウィンドウの上部に現在の Cybercon レベルが表示されます。

Screen shot that shows the CYBERCON level in the Threat Correlation & Response UI

検出された脅威に基づいて Cybercon レベルが自動的に変更されることはありません。Administrator は Cybercon レベルを変更することができます。

Cybercon しきい値

ThreatSync ポリシー設定で、異なる Cybercon レベルで Host Sensor において実行されるアクションを定義するポリシーを構成します。各ポリシーで、ポリシーが適用される Cybercon レベルを定義する Cybercon しきい値 を指定します。ポリシーの Cybercon しきい値が Cybercon レベル以上になった場合のみに、ポリシーがアクティブになります。たとえば、Cybercon しきい値が 3 のポリシーは、Cybercon レベルが 3、2、または 1 の場合にのみアクティブになります。

より積極的なポリシーにするには、Cybercon しきい値を低く設定します。消極的なポリシーにするには、Cybercon しきい値を高く設定します。Cybercon レベルごとにポリシーを構成したら、Cybercon レベルを変更して、より積極的なポリシー セットが迅速にアクティブ化されるようにすることで脅威に対応することができます。詳細については、TDR ポリシーを構成する を参照してください。

Cybercon レベルを変更する

Administrator は Cybercon レベルを変更することができます。他すべてのユーザーは Cybercon レベルを表示することはできますが、変更はできません。

Cybercon レベルを変更するには、以下の手順を実行します:

  1. TDR にログインする.
  2. 監視 > Threat Detection の順に選択します。
  3. Cybercon レベルを上下させるには、Cybercon レベル の横にある上向き矢印または下向き矢印をクリックします。
    確認 ダイアログ ボックスが開きます。
  4. はい をクリックします。

Cybercon しきい値が選択されている Cybercon レベル以下のすべてのポリシーがアクティブになります。たとえば、Cybercon レベルが 4 の場合は、Cybercon しきい値が 4 または 5 のすべてのポリシーがアクティブになります。

アクティブな TDR ポリシーについて

TDR アカウントでアクティブになっているポリシーは、Cybercon レベル、および TDR ポリシーで構成されている Cybercon しきい値とランクによって異なります。Cybercon レベルの変更またはポリシー構成の変更に起因してアクティブなポリシーが変更された場合は、ポリシーの基準を満たす新しいインジケータにアクティブなポリシーが直ちに適用されます。ポリシーまたは Cybercon レベルが変更された後は、TDR によりこれらの前の結果の 1 つを持つ既存のインジケータが再評価されます。

  • ポリシーなし — 要求された修正アクションを実行するアクティブなポリシーがない
  • ポリシーによってブロック — 修正ポリシーにより、要求された修正アクションがブロックされている

短期間に TDR ポリシーにいくつかの変更が加えられる可能性があるため、ポリシーまたは Cybercon レベルが変更された後 5 分経過してから、TDR で既存のインジケータが再評価されます。

APT Blocker ポリシーは、新しいインジケータにのみ適用できます。Cybercon レベルまたはアクティブな APT Blocker ポリシーが変更された場合は、TDR では既存のインジケータの再評価は行われません。

関連情報:

TDR ポリシーを構成する