Windows デバイスの監視は環境の保護に欠かせない作業です。Windows サービスを監視し、システムが適切に利用されているかどうか確認することで、脅威を検出することができます。重要なホストでの不審なアクティビティ、情報流出の兆候、著作権の侵害などが存在する場合、脅威に感染している可能性があります。Windows コンテンツ パックを利用すると、このような特別なイベントを識別し、問題を迅速に調査、解決することができます。
コンテンツ パックのコンポーネント
アラーム
危険度の高いホストと接続している外部デバイスを警告します。
- Windows - 外部メディアに関する重要なホストのアクティビティ
レポート
特定の Windows イベントに関する概要を提供します。
- Windows - システムとサービスのエラー報告
ビュー
サービス エラーの詳細を表示します。問題の発生場所を特定できます。
- Windows システムとサービスのエラー
- Windows 外部メディア アクティビティ
- Windows アプリケーション エラー
- EXE/DLL のApplocker イベント
- MSI/スクリプトの Applocker イベント
- パッケージ アプリの Applocker イベント
- Applocker の概要
相関分析ルール
複数のエラーが発生した場合、または同じ時間枠で不正なアクティビティとエラーが同時に検出された場合に実行されます。
- Windows - 単一ホストでのシステム/サービス エラー
- Windows - システム/サービス エラーと不正なアクティビティ
- Windows - 単一ホストでのアプリケーションのクラッシュまたは停止
- Windows - 複数のホストでのアプリケーションのクラッシュまたは停止
- Windows - 複数のホストでの BSoD システム クラッシュ
- Windows - 単一ホストでの BSoD システム クラッシュ
- Windows - 失敗した EXE または DLL の複数の Applocker イベント - 複数のホスト
- Windows - 失敗した EXE または DLL の複数の Applocker イベント - 単一ホスト
- Windows - 失敗した MSI またはスクリプトの複数の Applocker イベント - 複数のホスト
- Windows - 失敗した MSI またはスクリプトの複数の Applocker イベント - 単一ホスト
- Windows - 失敗したパッケージ アプリの複数の Applocker イベント - 複数のホスト
- Windows - 失敗したパッケージ アプリの複数の Applocker イベント - 単一ホスト
ウォッチリスト
危険度高のホストが外部メディアに接続している場合に警告します。
- 重要なホスト
必要な製品
- McAfee Enterprise Security Manager (ESM) 11.x, 10.x
- McAfee Advanced Correlation Engine (ACE) 11.x, 10.x
- 1 つ以上の Microsoft Windows イベント ログ - WMI データ ソースを McAfee Enterprise Security Manager に追加する必要があります。
- AppLocker 固有のコンポーネントを使用するために、環境内で AppLocker を設定する必要があります。
コンテンツ パックのダウンロード
ServicePortal にご登録の方は、ナレッジセンターにログインすると、詳しいドキュメントを入手できます。また、コンテンツ パック ファイルをダウンロードできます。
記事を読む