環境内の不審なアクティビティを追跡することで、不審なイベントを特定し、詳しい調査を行うことができます。たとえば、感染したホストや攻撃に必要な情報を収集している人物などを特定できます。このコンテンツ パックのコンポーネントを利用すると、イベントの相関分析を行って有益なインテリジェンスを取得し、調査が必要な不審なイベントを識別することができます。
コンテンツ パックのコンポーネント
ビュー
不審なイベントの概要
- 不審なアクティビティの概要
- ネットワーク フローのベースライン
ウォッチリスト
ネットワーク脆弱性スキャン デバイスによる相関分析ルールのトリガーを防ぎます。
- 偵察 - ネットワーク スキャン デバイス
相関分析ルール
異なるイベントを関連付け、有益なインテリジェンスを提供します。
- 不審なアクティビティ - Tor ポートを介した内部デバイスと外部デバイスの通信
- 不審なアクティビティ - 不審なホストとの IRC 通信
- 不審なアクティビティ - WannaCry ランサムウェアの可能性
- 不審なアクティビティ - WannaCry のファイル拡張子
- 不審なアクティビティ - キャンセル/削除された Windows バックアップ
- 偵察 - SMB 水平スキャン - イベントまたはフロー
必要な製品
- McAfee Advanced Correlation Engine (ACE) 11.x, 10.x
- McAfee Enterprise Security Manager (ESM) 11.x, 10.x
- 一部のルールでは、McAfee Global Threat Intelligence (GTI) が必要になります。
コンテンツ パックのダウンロード
ServicePortal にご登録の方は、ナレッジセンターにログインすると、詳しいドキュメントを入手できます。また、コンテンツ パック ファイルをダウンロードできます。
記事を読む